BYOD—识别和身份认证部署指南 解决 BYOD IBA

advertisement
IBA
解决
方案
BYOD
BYOD—识别和身份认证部署指南
智能业务平台IBA
2012年8月系列
前言
本指南的目标受众
如何阅读命令
Cisco®智能业务平台(IBA)指南主要面向承担以下职务的读者:
•需 要撰写思科IBA实施项目工作说明书的项目经理
许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着Cisco
IOS、 Cisco NX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下
面描述了系 统命令的指定规则,您需要按照这些规则来输入命令:
•需 要销售新技术或撰写实施文档的销售合作伙伴
在CLI中输入的命令如下所示:
•需 要用标准程序来实施方案时的系统工程师
•需 要课堂讲授或在职培训材料的培训人员
一般来说,您也可以将思科IBA指南作为增加工程师和项目实施统一性的指导文
件,或利用它更好地规划项目成本预算和项目工作范围。
版本系列
思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时,我们将
会对 其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性,您应当使
用同一系列 中的设计指南文档。
每一个系列的Release Notes(版本说明)提供了增加和更改内容的总结。
所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列
指南发 布时的年份和月份来对该系列命名,如下所示:
年 月 系列
configure terminal
为某个变量指定一个值的命令如下所示:
ntp server 10.10.48.17
包含您必须定义的变量的命令如下所示:
class-map [highest class name]
以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示:
Router# enable
包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入:
wrr-queue random-detect max-threshold 1 100 100 100 100 100
100 100 100
系统输出或设备配置文件中值得注意的部分以高亮方式显示,如下所示:
interface Vlan64
ip address 10.5.204.5 255.255.255.0
例如,我们把于2011年8月发布的系列指南命名为:
“2012年8月系列”
问题和评论
您可以在以下网址查看最新的IBA指南系列:
如果您需要评论一个指南或者提出问题,请使用 IBA反馈表。
http://www.cisco.com/go/cn/iba
2012年8月系列
如果您希望在出现新评论时获得通知,我们可以发送RSS信息。
前言
目录
BYOD—识别和身份认证部署指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
附录A: 产品列表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
附录 B: 变更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
业务概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
技术概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
部署详情 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
启用身份认证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
部署Cisco身份识别服务引擎. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
启用LAN的可视化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
启用无线网络可视化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
部署数字证书. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
启用802.1X认证. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
配置组策略对象. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
在Windows终端上部署思科AnyConnect . . . . . . . . . . . . . . . . . . . . 47
配置Mac工作站,以支持802.1X认证 . . . . . . . . . . . . . . . . . . . . . . . . . 51
启用授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
启用思科IP电话授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
启用无线接入点的授权 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
修改MAB认证策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
为有线终端启用授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
为无线终端启用授权. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
修改为关闭的授权策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
监控网络访问. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
2012年8月系列
目录
本IBA指南的内容
关于本指南
关于IBA解决方案
思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式
设计,即购即用,而且具备出色的可扩展性和灵活性。
思科IBA在一个综合的解决方案中集成了局域网、广域网、无线、安全、数据
中心、应用优化和统一通信技术,并对其进行了严格测试,确保能实现无缝协
作。IBA采用的模块化分类简化了多技术系统集成的复杂度,使您能够根据需要
解决企业需求,而无需担心技术复杂性。
思科IBA解决方案为最常见的技术趋势设计解决方案以满足特定的需求。通常来
说,思科IBA在每一个解决方案提供多个场景来解决客户的需求以适应客户对于
新趋势的设计和部署要求。
本部署指南包括一个或多个部署章节,其中包含如下内容:
•业 务概述——描述本设计的商业用例,业务决策者可通过本章内容来了解解
决方案与企业运营的相关性。
•技 术概述——描述该商业用例的技术设计,包含思科产品如何应对业务挑
战。技术决策者可利用本章节理解该设计如何实现。
•部 署详情——提供解决方案的逐步实施和配置的指导。系统工程师可以在这
些步骤的指导下快速和可靠的设计和部署网络。
您可以在以下网址查看最新的IBA指南系列:
http://www.cisco.com/go/cn/iba
成功部署路线图
为确保您能够按照本指南中的设计成功完成部署,您应当阅读本指南所依据的所
有相关指南——即如下路线中本指南之前的所有指南。
预备知识
您在这里
解决方案
BYOD—设计概览
2012年8月系列
局域网部署指南
BYOD—识别和身份认证部署指南
本IBA指南的内容
4
简介
注意
本指南以思科IBA无边界网络《局域网和无线局域网 8 02.1X部署指
南》为基础撰写。本指南旨在向您介绍如何使用思科智能业务平台来
解决BYOD业务问题。思科之前开发了多款解决方案,来解决与各种
BYOD业务问题类似的问题。思科IBA使用802.1X来解决识别、身
份认证和授权设备的BYOD问题。
传统设备更轻松地访问网络资源。这给致力于为最终用户提供一致网络访问体验
的IT部门提出了一个挑战,既要支持自由使用任何设备,同时还要执行严格的安
全策略以保护公司知识产权。使情况更加复杂的是,要根据特定用户访问情况(
有线、无线、访客、本地、分支机构和远端用户)提供一致的访问和执行适当的安
全策略。
为了在提高生产力与防范安全风险之间达到平衡,IT需要实施一款解决方案,以
支持无缝添加用户和设备、简单的持续操作、以及能够随时将最终用户应用扩展
至任何用户或任何设备。
其他解决BYOD业务问题的IBA智能业务平台指南包括:
•BYOD—公司内部访问部署指南
•BYOD—高级访客无线访问部署指南
•BYOD—远端移动设备访问部署指南
当今市场上有一大趋势,即我们通常所说的自带设备办公(BYOD)。BYOD是能
够通过多种途径予以解决的一系列业务问题。这些包括从访问来宾无线网络到
其所提供设备的认证和识别。其目的就是不受所用设备的限制,提供通用的工作
环境。这可以通过虚拟化桌面或通过允许用户自行注册设备以在网络上使用来实
现。这些范围包括从访客的无线网络访问到提供设备的认证和授权等。其目的就
是不受所用设备的限制,提供通用的工作环境。这可以通过虚拟化桌面或通过允
许用户自行注册设备以在网络上使用来实现。
当前,企业正在经历前所未有的网络变革。过去,IT通常仅向公司管理的PC(例
如笔记本电脑和台式机)提供网络资源。如今,员工要求通过公司管理的设备和
未管理的设备进行网络访问,包括诸如智能手机和平板电脑等移动设备。能够支
持多种应用的移动设备迅速普及,一方面可显著提高员工的移动性和生产力,另
一方面也给IT部门带来了巨大的挑战,因为IT部门需要在日益增加的设备、操作
系统和连接配置文件间有效地执行安全策略。
专门用于“工作”的设备与专门用于“个人用途”的设备之间的区分已经演进的越
来越模糊。移动设备使用的这一演进,以及移动设备在工作区的引入,导致IT对
于合格网站“终端设备”及其对于“工作”的意义的看法发生了观念的转变。
企业不仅需要了解谁在访问其有线和无线网络,而且还要知道访问的时间和地
点。此外,随着诸如智能手机和平板电脑等非传统设备的广泛采用,以及人们自
带设备访问网络,企业需要知道有多少这样的设备正在联网。了解了这一信息,企
业才能制定策略来防止非传统设备联网、仅限经批准的设备联网,或者使这些非
2012年8月系列
简介
5
业务概述
随着移动员工队伍日渐壮大,以及网络访问平台的多样化,企业纷纷想方设法来
监控网络访问。企业不仅需要了解谁在访问其有线和无线网络,而且还要知道访
问的时间和地点。此外,随着诸如智能手机和平板电脑等非传统设备的广泛采
用,以及人们自带设备访问网络,企业需要知道有多少这样的设备正在联网。了
解了这一信息,企业才能制定策略来防止非传统设备联网、仅限经批准的设备联
网,或者使这些非传统设备更轻松地访问网络资源。
受到行业和法规遵从性(PCI、萨班斯-奥克斯利)的推动,企业需要能够报告谁
在访问企业的信息、从哪里访问以及他们访问时所用设备的类型。诸如联邦信息
处理标准(FIPS)和联邦信息安全管理法案(FISMA)等政府指令也要求各机构
和实体与政府机构合作,跟踪此信息。在某些情况下,企业可以选择限制对于特
定信息的访问,以遵守这些规定。
这一信息还可作为关键数据,用于生成高级安全策略。企业将此视作一项需要使
用多种先进技术的艰巨任务,通常会因为不知道从何着手而延误了解决方案的实
施。
本指南是部署基于身份的完整架构的第一步。未来的项目将阐述其它使用情况,
侧重于提供执行、访客访问和机密性等功能的特性。
技术概述
思科身份服务引擎(ISE)是一种身份和访问控制策略平台,能够支持企业提高合
规性、增强基础设施安全性和简化服务运营。思科ISE是Cisco TrustSec的一个
核心组件。其架构使企业能够从网络、用户和设备收集实时的情景信息,通过将
身份与诸如接入交换机、无线控制器和VPN网关等网元联系在一起,做出前瞻性
策略决定。
思科ISE,以进行分析。之后该引擎将评估DHCP数据,根据请求中的数据识别设
备。例如,ISE能够根据DHCP类标识符识别思科IP电话。
在局域网中,Cisco TrustSec有三种部署模式:监控模式、lowimpactmode(低影响)模式和关闭模式。思科建议采用分阶段部署模式,由此
可减少对网络访问的影响,同时逐步引入对网络的认证/授权。一个企业的目标可
能仅仅需要实施Cisco TrustSec整个功能的一部分,一个成功的部署也不必要
包含全部三种部署模式。本指南将介绍在总部站点和远端站点部署监控模式和
低影响模式,以及在数据中心集中部署思科ISE的情况。所使用的监控模式在总
部站点和远端站点的接入层交换机上的IOS中部署了两个特性。第一个是MAC
认证旁路(MAB),按MAC地址对交换机端口上的设备进行认证。监控模式会
记录所连接的MAC地址并授权访问任意相连设备。第二个特性是802.1X开放
模式,它允许交换机端口提供无限制的网络访问,即使未执行认证和授权也不受
影响。这使得身份的部署不会影响现有连接。这种分阶段方法使我们能够为在未
来转移到另一种模式(例如认证或执行模式)做好准备。在企业中,这些交换机
配置将由思科局域网管理解决方案(Cisco Prime LMS)4.2和全新TrustSec
WorkCenter来管理。思科Prime LMS通过对身份部署执行网络就绪评估,为
各种模式(监控、低影响、关闭)提供模板,并提供逐步向导来配置各种必要组
件,从而简化了身份部署。
通过使用思科ISE作为支持无线802.1X认证、授权和记账的RADIUS服务器,您
可以将思科ISE集成到无线网络中。这项配置可在总部和远端站点网络中的每个
无线局域网控制器(WLC)上完成。唯一例外的是用于来宾访问的控制器。您也
可以配置WLC,将DHCP请求转发至思科ISE,以对无线终端进行分析。
这一部署使用思科ISE作为认证、授权与记账服务器,为使用RADIUS连接的有
线和无线网络用户提供支持。思科ISE将作为现有活动目录(AD)服务的代理,为
所有网络服务提供一个中央身份存储库。
除了认证以外,本部署还使用思科ISE来分析设备概况,以确定正在访问网络的
设备的具体类型。这项功能可通过基于特定特征,将网络流量与特定标准进行
对比来完成。思科ISE当前包含多种探针,可支持动态主机配置协议(DHCP)
、HTTP、RADIUS、域名系统(DNS)、简单网络管理协议(SNMP)陷阱和查
询、网络地图扫描(Nmap)以及Cisco IOS Netflow。要分析流量,可将ISE部
署为在线内置策略(inline policy)执行设备或者可将流量镜像至ISE。例如,网
络基础设施被配置为发送通过RADIUS的DHCP和思科发现协议(CDP)数据到
2012年8月系列
简介
6
图 1 - 思科ISE集成到思科IBA智能业务平台中
2012年8月系列
简介
7
部署详情
启用身份认证
流程
此处描述的部署基于Cisco IBA智能业务平台—《无边界网络局域网部署指南》
中介绍的IP编址。本指南中使用的所有IP地址均为举例。您应使用适用于您架构
的地址。
部署Cisco身份识别服务引擎
1、设置主用引擎
思科ISE有不同的角色或模式,它可以配置为三种模式:administration(管理)
,policy service(策略服务)和monitoring(监控)。对于单一设备配置,该设
备包含所有角色,可以支持的最大终端数目为2000个。为了支持更多的终端,您
需要多台设备来分担不同的角色。在这个部署案例中,有一对主用和备用的策略
服务和管理节点,和一对主用和备用的监控节点,这部署扩展至支持最多10,000
终端。如果您的部署不需要支持超过2000个终端,您可以只配置一对主用和备
用ISE引擎,包含所有的模式。
2、设置备用引擎
表 1 - Cisco ISE 引擎的IP地址和主机名
6、在思科ISE中配置网络设备
设备
IP 地址
主机名
主用思科ISE管理和策略服务节点
10.4.48.41
ise-1.cisco.local
备用思科ISE管理和策略服务节点
10.4.48.42
ise-2.cisco.local
主用思科ISE监控节点
10.4.48.43
ise-3.cisco.local
备用思科ISE监控节点
10.4.48.44
ise-4.cisco.local
2012年8月系列
3、配置证书信任列表
4、配置思科ISE部署节点
5、安装思科ISE许可证
7、配置思科ISE以使用活动目录
8、禁用IP电话授权策略
部署详情
8
步骤 5: 配置管理员帐户。
程序 1

设置主用引擎
步骤 1: 启动思科ISE,按照初始提示,输入setup(设置)。
您必须配置一个管理员帐户,以访问CLI控制台。此帐户与用于访问GUI的帐户不
同。
Enter username[admin]: admin
Enter password: [password]
Enter password again: [password]
思科ISE完成安装并重启。此过程需要几分钟时间。您将需要在内部数据库的供
应配置期间输入一个新的数据库管理员密码和一个新的数据库用户密码。在安装
过程中不要按Control-C,否则将会中止安装。
步骤 2: 输入主机名称、IP地址、子网掩码和引擎缺省路由。
Enter
Enter
Enter
Enter
hostname[]: ise-1
IP address[]: 10.4.48.41
IP default netmask[]: 255.255.255.0
IP default gateway[]: 10.4.48.1
步骤 3: 输入DNS信息。
Enter default DNS domain[]: cisco.local
Enter primary nameserver[]: 10.4.48.10
Add/Edit another nameserver? Y/N :n
步骤 4: 配置时间。
Enter primary NTP server[time.nist.gov]: ntp.cisco.local
Add/Edit secondary NTP server? Y/N :n
Enter system timezone[UTC]: PST8PDT
技术提示
时区缩写可在《思科身份服务引擎CLI参考指南》1.1.x版中找到:
http://www.cisco.com/en/US/docs/security/ise/1.1/
cli_ref_guide/ise_cli_app_a.html#wp1571855
2012年8月系列
主引擎现已安装。
程序 2

设置备用引擎
设置备用引擎的步骤与设置主用引擎的步骤相同,唯一的区别就是针对引擎配置
的IP地址和主机名称。要设置备用引擎,请按照程序 1,使用备用引擎表格 1中提
供的值。
程序 3

配置证书信任列表
引擎使用公钥基础设施(PKI)来保护他们间的通信安全。最初,您在此部署中使
用本地证书,并且必须在所有引擎之间配置一种信任关系。要完成此操作,您需
要从二级管理节点和监控节点的本地证书导入到主管理节点。
步骤 1: 在您的浏览器中,连接到备用引擎的GUI,网址:http://ise-2.cisco.
local。
步骤 2: 在Administration(管理)> System(系统)中,选择
Certificates(证书)。
部署详情
9
步骤 3: 在Local Certificates(本地证书)窗口,选中备用引擎名称旁边的选
项框,选择本地证书ise-2.cisco. local,然后单击Export(导出)。
步骤 4: 选择Export Certificate Only(仅导出证书),之后单击Export(
导出)。
步骤 2: 在Administration(管理)菜单,选择System(系统),之后选择
Deployment(部署)。出现一条消息,通知您该节点目前为独立节点。单击
OK。
步骤 5: 当浏览器提示您保存文件到本地设备的某个位置时,选择要存放文件的
位置,并加以说明。您将需要把这一文件导入到主用引擎中。
步骤 6: 在浏览器中,访问主用引擎的GUI,网址:http://ise-1.cisco.local。
步骤 7: 在Administration(管理)> System(系统)中,选择
Certificates(证书)。
步骤 8: 在左侧的Certificate Operations(证书操作)窗格,单击
Certificate Store(证书存储区),然后单击Import(导入)。
步骤 3: 在Deployment(部署)窗格,单击齿轮图标,并选择Create Node
Group(创建节点组)。
为了使这两个思科ISE设备能够共享策略和状态信息,它们必须位于一个节点组
中。节点将使用IP组播来分发这一信息,因此它们需要能够通过IP组播进行通
信。
步骤 9: 单击Certificate Filebox(证书文件)字段旁边的Browse(浏览),
找到从备用引擎导出的证书。该证书扩展名为.pem。单击Submit(提交)。
步骤 10: 对于剩余的引擎ise-3.cisco.local 和 ise-4.cisco.local,重复这个
步骤。
程序 4

配置思科ISE部署节点
您可以配置思科ISE的各种功能在一个引擎上运行,或者在几个引擎间运行。这些
功能包括管理、监视和策略服务等。在此安装示例中,您将部署一对主用备用的
管理和策略服务的引擎,另外一对主用备用引擎作为监控节点。
步骤 1: 连接至http://ise-1.cisco.local。
步骤 4: 配置节点组,节点组名称为ISE-Group,默认组播地址为
228.10.11.12,然后单击Submit(提交)。
步骤 5: 一个弹出窗口将显示该组已成功创建。单击OK(确定)。
步骤 6: 在左侧的Deployment(部署)窗格,展开Deployment(部署)。窗
口中显示一个当前部署节点的列表。
步骤 7: 单击ise-1。通过此操作,您可以配置此部署节点。
步骤 8: 在General Settings(常规设置)选项卡下的Personas(角色)部分,
在Administration Role(管理角色)旁,单击Make Primary(设为主用)。
2012年8月系列
部署详情
10
步骤 9: 从Node Group(节点组)列表中的Include Node,选择
ISE-Group。
步骤 13: 输入表格 1中主用监控思科ISE引擎的IP地址或主机名称(在此例
中,ise-3.cisco.local),以及管理员帐户的凭证,单击Next(下一步)。
步骤 14: 选择Monitoring(监控),在Role(角色)菜单下,选择Primary(
主要)。确保Administration(管理)和Policy Service(策略服务)不被选
中。
步骤 15: 单击Submit(提交)。节点进行注册,一个弹出窗口会显示流程是否
成功。单击OK(确定)。
接下来,您将配置使用哪一方法来分析网络终端。
步骤 10: 选择RADIUS,使用默认参数设置,单击Save(保存)。
步骤 11: 在Edit Node(编辑节点)窗口,单击Deployment Nodes List(
部署节点列表)。Deployment Nodes(部署节点)窗口打开。
步骤 16: 在Deployment Node(部署节点)窗口下,单击ise-1。
步骤 12: 单击Register(注册),之后选择Register an ISE Node(注册
一个ISE节点)。
2012年8月系列
部署详情
11
步骤 17: 清除Monitoring(监视),然后单击Save(保存)。节点更新,并显
示一条消息,让您知道这个过程已成功。单击OK(确定)。节点重新启动。
步骤 22: 单击Submit (提交)。节点注册,并显示一个弹出式窗口让您知道
这个过程已成功。单击OK。
步骤 18: 登陆ISE,然后在登陆至管理界面,转至Administration(管理) ,
在System下,选择Deployment(部署)。
步骤 23: 接下来,您将使用如下方法来为备用的policy service(策略服务)
节点配置分析网络终端。
步骤 19: 在Deployment Node(部署节点)窗口,单击Register(注册),然
后选择Register an ISE Node(注册一个ISE节点)。
步骤 24: 在 Deployment Nodes(部署节点) 列表内,单击ise-2。
步骤 20: 输入表格 1中的备用管理IP地址或主机名(在本例子中是ise-2.
cisco.local),并输入admin帐户的凭据,然后单击Next (下一步)。
步骤 25: 在 Profiling Configuration选项卡 ,选择RADIUS,使用默认参
数,然后单击Save(保存)。
步骤 21: 选择Administration(管理)和Policy Service(策略服务)。在
Administration (管理)部分,在Role(角色)列表中,选择Secondary(备
用),然后在Policy Service(策略服务)部分,在Node Group(节点组)列表
中,选择ISE-Group。
步骤 26: 在Edit Node(编辑节点) 窗口,单击Deployment Nodes
List(部署节点列表)。Deployment Nodes(部署节点)窗口弹出。
2012年8月系列
部署详情
12
步骤 27: 在Deployment Nodes(部署节点) 窗口内,单击Register(注
册),然后选择Register an ISE Node(注册一个ISE节点)。
步骤 28: 输入表格 1中的思科ISE备用monitoring(监测)节点的IP地址和主
机名,然后输入用admin账户的凭据,然后单击Next (下一步)。
步骤 29: 选择Monitoring(监控),然后在Role (角色)列表中,选择
Secondary(备用)。确保Administration(管理) 和 Policy Service(
策略服务) 没有被选中。
步骤 30: 单击Submit (提交)。节点注册,并显示一个弹出式窗口让您知道
这个过程已成功。单击OK。
技术提示
当安装Base(基本)许可证和Advanced(高级)许可证时,必须首
先安装基本许可证。
步骤 1: 将鼠标置于Administration(管理)之上,然后在菜单的System(
系统)部分,选择Licensing(许可)。
注意,您在此只会看到一个节点,因为只有主用管理节点才需要许可证。
步骤 2: 单击思科ISE服务器的名称。此操作将允许您编辑许可证详情。
步骤 3: 在Licensed Services(许可服务)下,单击Add Service(添加服
务)。
步骤 4: 单击Browse(浏览),找到您的许可证文件,然后单击Import(导入)
。
如果您要安装多个许可证,请为每个许可证均重复此过程。
您已经部署了所有的思科ISE节点:一对主用和备用的administration(管理)及
policy service(策略服务)节点,以及一对冗余的monitoring(监控)节点。
程序 5

安装思科ISE许可证
思科ISE标配有针对基本和高级产品包的90天演示许可证。超过90天后,您需要
获得思科的许可证。在冗余配置中,您只需在主用管理节点上安装许可证。
2012年8月系列
部署详情
13
程序 6

在思科ISE中配置网络设备
程序 7

配置思科ISE以使用活动目录
配置思科ISE,以接受来自网络设备的认证请求。RADIUS需要共享密钥,以启用
加密通信。每个将使用思科ISE进行认证的网络设备都需要拥有此密钥。
思科ISE将使用现有的活动目录(AD)服务器作为外部认证服务器。首先,您必须
配置外部认证服务器。
步骤 1: 将鼠标置于Administration(管理)之上,然后在菜单的Network
Resources(网络资源)部分,选择Network Devices(网络设备)。
步骤 1: 将鼠标置于Administration(管理)之上,然后在菜单的Identity
Management(身份管理)部分,选择External Identity Sources(外部身
份源)。
步骤 2: 在左侧窗格,单击Default Device(缺省设备)。
步骤 2: 在左侧窗格,单击Active Directory(活动目录)。
技术提示
每个网络设备可单独进行配置,或者可按位置、设备类型或IP地址范
围对设备进行分组。另一个选项是使用缺省设备来为未进行专门配
置的设备配置参数。本例中的所有网络设备必须使用相同的密钥,因
此为了简单起见,本例中将使用Default Device(缺省设备)。
步骤 3: 在Connection(连接)选项卡中,输入AD域(例如“cisco.local”)和
服务器的名称(例如“AD1”),之后单击Save Configuration(保存配置)。
步骤 4: 选中节点旁边的选项框,单击Test Connection(测试连接),然后
选择Basic Test(基础测试),验证这些设置。
步骤 5: 输入域用户的凭证,然后单击OK(确定)。
步骤 3: 在Default Network Device Status(默认网络设备状态)菜单下
选择Enable(启用)。
步骤 4: 输入RADIUS共享密钥,单击Save(保存)。
步骤 6: 一条消息出现会告诉您设置已成功。单击Close(关闭)。
步骤 7: 选中每个节点旁边的选项框,然后单击Join(加入)。
2012年8月系列
部署详情
14
步骤 8: 输入域管理员帐户的凭证。思科ISE现在被加入到AD域。
步骤 12: 单击Save Configuration(保存配置)。Click Save
Configuration。
程序 8

禁用IP电话授权策略
针对已进行了分析的思科IP电话,系统提供有缺省策略。这一配置文件适用于电
话连接的端口上的可下载访问列表。由于没有进行策略执行,此规则应禁用。
步骤 1: 在菜单栏,将鼠标置于Policy(策略)之上,然后单击
Authorization(授权)。
接下来,选择思科ISE将使用AD中的哪一个组进行认证。
步骤 9: 单击Groups(组)选项卡,单击Add(添加),然后单击Select
Groups from Directory(从目录中选择组)。
步骤 2: 针对Profiled Cisco IP Phones(已分析思科IP电话)规则,单击
Edit(编辑),单击绿色对勾图标,选择Disabled(禁用),单击Done(完成),
然后单击Save(保存)。
步骤 10: 搜索您想添加的组。域字段已经填写。缺省过滤器是一个通配符,可列
出所有组。单击Retrieve Groups(检索组),以获得您域中所有组的列表。
步骤 11: 选中您希望用于进行认证的组,然后单击OK(确定)。例如,对于此域
中的所有用户,选择组<domain>/Users/Domain Users(<域>/用户/域用
户)。
2012年8月系列
部署详情
15
步骤 2: 对于默认MAB策略,单击“and…”右侧的黑色三角形。将出现用于
MAB规则的身份存储库。
流程
启用LAN的可视化
1、配置MAC认证旁路
2、为有线用户配置802.1X
3、在接入层启用RADIUS
4、启用身份
5、禁用端口安全计时器
接下来,更改用于进行分析的Internal User(内部用户)数据库上的选项。
步骤 3: 单击Internal Endpoints(内部终端)旁边的“+”符号。
思科ISE现在已经有一个基准配置。下一步是配置思科ISE的验证策略和用思科
Prime LMS 4.2和思科TrustSecWorkCenter对交换机进行配置验证。
程序 1

配置MAC认证旁路
MAC认证旁路(MAB)使您可以在交换机上配置特定的机器MAC地址,以绕过
认证流程。对于Monitor Mode(监控模式),这是必要的,因为我们没有执行认
证。MAB将被配置为允许任意MAC地址进行认证。
步骤 4: 在本示例部署中,我们将允许所有终端进行认证。设置以下列出参数,
单击窗口内的任何位置以继续,然后单击Save(保存)。
•If authentication failed—Continue
•If user not found—Continue
•If process failed—Drop
步骤 1: 将鼠标至于Policy(策略)之上,然后选择Authentication(认证)
。Policy Type(策略类型)基于规则。
系统中有两项默认规则,分别是MAB和Dot1X 。
2012年8月系列
部署详情
16
程序 2

为有线用户配置802.1X
程序 3

在接入层启用RADIUS
引擎上已经配置了Dot1X规则。在本部署示例中,尽管您目前不会采用802.1X请
求者部署任何有线终端,但您仍应配置这一规则,为下一阶段的身份部署做好准
备。
步骤 1: 在Web浏览器中连接到Cisco PrimeLMS,例如:https://lms.
cisco.local。
步骤 1: 将鼠标置于Policy(策略)之上,之后从菜单中选择
Authentication(认证)。
步骤 2: 将鼠标置于Work Centers之上,然后从Trust(信任)部分选择
Getting Started(开始)。这将显示该网络的思科 TrustSec-readiness 评
估,从而检验软件版本是否支持身份特性,以及交换机是否能够运行RADIUS 。
步骤 2: 为了区分此规则与无线802.1X规则,将它重新命名为“WiredDot1X”。
步骤 3: 对于Wired-Dot1X规则,单击“and…”右侧的黑色三角形。将出现
用于此规则的身份存储库。
默认身份存储库为内部用户数据库。针对802.1X,使用您之前定义的Active
Directory(活动目录)服务器。
步骤 4: 单击Internal Users(内部用户)旁边的“+”符号。此操作可支持您
编辑身份存储库和参数。
步骤 5: 从Identity Source(身份源)下拉列表中,选择先前定义的AD服务
器AD1,针对这一身份源使用默认选项,然后单击窗口中的任意位置以继续,单
击Save(保存)。
接下来,通过在交换机上启用RADIUS来配置身份。
步骤 3: 将鼠标置于Work Centers(工作中心),在TrustSec 菜单中选择
RADIUS Configuration。
步骤 4: 在支持RADIUS的设备表中,选择您希望启用RADIUS的交换机,然后
单击Next(下一步)。
步骤 5: 在配置RADIUS 页面,选择RADIUS Group,在RADIUS Group
Name栏内输入ISE-Group,然后在Shared Key(共享密钥)栏内填入在前
面的过程中所使用的密钥。
2012年8月系列
部署详情
17
步骤 6: 在RADIUS Server Details(RADIUS服务器详情)部分,单击Add(
添加)。
技术提示
步骤 7: 在弹出窗口中,输入10.4.48.41作为RADIUS服务器IP地址,然后单击
Save and add another(保存并添加另一个)。
步骤 8: 针对第二台RADIUS服务器输入10.4.48.42,然后单击Save(保存)
。RADIUS服务器组已经配置完成。
步骤 9: 在AAA Configuration(AAA配置)部分,确保仅选择Enable for
802.1X / MAB AAA(针对802.1X / MAB AAA启用)。
通过单击Preview CLI( 预览CLI),您可以查看将被推送至交换机
的CLI命令。
步骤 11: 输入任务描述,然后单击Finish(完成)以立即部署。
步骤 12: 当您收到关于添加AAA命令的警告时,单击Yes(是),然后在任务创
建后生成的弹出窗口中单击OK(确定)。
程序 4

启用身份
身份配置会在交换机上启用监控模式。此操作会启用802.1X和MAC认证旁路
(MAB),但不会启用认证策略。这将能够支持监控端口,而不会中断当前的网
络活动。
步骤 1: 将鼠标置于Work Centers(工作中心)上,然后在TrustSec部分选
择Identity Configuration(特性配置)。
步骤 2: 在Navigator(导航器)窗格,单击Enable Identity on
Interfaces(启用特性接口)。
步骤 10: 在Configure RADIUS(配置RADIUS)页面,单击下一步。
2012年8月系列
部署详情
18
步骤 3: 在Filter(过滤)列表里,选择之前配置为RADIUS的交换机,并在
Port Group Selector (端口组选择)选项里选择All Groups (所有组)
,然后单击Next(下一步)。
步骤 5: 在Identity(身份)模式进行配置,将Security Mode(安全模式)滑
块移动到Monitor(监控),这是默认的安全模式。
步骤 6: 在Authentication profile(身份认证配置文件)和host mode(主
机模式)部分,设置以下值:
•D efine Authentication Profile—802.1X, then MAB
•D efine Host Mode—MultiAuth
•Action to be taken on security violation—No Change
步骤 7: 在MAC Configuration(MAC配置)部分,确保仅选择Enable
MAC Move(启用MAC移动)。
步骤 8: 在其他配置部分中,选择Advanced Options(高级)选项,然后在
Adhoc commands框中,输入以下命令,然后单击Next (下一步)。
device-sensor accounting
技术提示
步骤 4: 选择您希望启用身份的端口旁边的复选框,然后单击Next(下一步)。
对于device profiling(设备配置),您需要打开IOS Sensor特性,
可以让RADIUS发送到ISE的消息中包括DHCP和CDP的信息。
IOS Sensor特性可以在局域网部署指南中的DHCP snooping特性
的相关信息中找到。
接下来,配置监控模式。
2012年8月系列
部署详情
19
技术提示
您可以单击Preview CLI( 预览CLI)查看将要推送到交换机的CLI
命令。
步骤 9: 在Job Description栏内填写描述,单击Finish(完成),然后点
OK(完成)。
在前两个程序完成时,添加到交换机配置的全局命令如下。
aaa group server radius ISE-Group
server 10.4.48.41
server 10.4.48.42
身份配置完成了。下一步您将的部署如何将配置发送到交换机。
aaa
aaa
aaa
aaa
authentication dot1x default group ISE-Group
authorization network default group ISE-Group
authorization configuration default group ISE-Group
accounting dot1x default start-stop group ISE-Group
authentication mac-move permit
dot1x system-auth-control
2012年8月系列
部署详情
20
device-sensor accounting
radius-server host 10.4.48.41
radius-server host 10.4.48.42
radius-server key [key]
在这个程序完成时,添加到端口下的命令如下。
interface[interface]
authentication host-mode multi-auth
authentication open
authentication order dot1x mab
authentication port-control auto
mab
dot1x pae authenticator
程序 5

禁用端口安全计时器
当前的思科IBA智能业务平台设计结合使用了Port Security(端口安全)来提
供一定水平的安全性,并防止非法设备连接。然而,802.1X也提供了这一功能,
当在一个端口上同时启用这两项功能时,会出现冲突。因为端口安全性功能和
802.1X都各有一组计时器,因此这种冲突在非活动计时器上表现得尤其明显。这
一冲突会导致每当端口安全超时的时候,802.1X就会重新进行认证。为避免这
种问题,需要禁用端口安全计时器。
技术提示
在本例中,仅配置一个交换机,但您可以选择配置多个交换机来完成
一个大型部署。Group Selector(组选择器)允许您按预定义的组
或型号来选择交换机。
步骤 6: 选择Define an Ad-Hoc Rule(定义一个Ad-Hoc规则)。这将打开
一个新窗口。
步骤 7: 针对Ad-Hoc规则,在Object Type(对象类型)列表里选择Port(
端口)。
步骤 8: 从Variable(变量)下拉菜单中,选择ldentity_Security_Mode(
特性安全模式)。
步骤 9: 在Operator(运算符)列表中选择“=”,然后在Value(数值) 列表
中选择Monitor(监控)。
步骤 10: 单击Add Rule Expression(添加规则表达式),然后单击Next(
下一步)。
步骤 1: 连接到思科LMS服务器,访问https://lms.cisco.local。
步骤 2: 导航到Configuration(配置)>Tools(工具)>NetConfig(网络
配置)。 此操作将打开Job Browser(任务浏览器)。
步骤 3: 单击Create,可以配置一个新工作。
步骤 4: 选择Port based,单击Go(继续)。
步骤 5: 在All Devices(所有设备)旁边的目录,单击“+”号,选择之前配置号
的交换机,然后单击Next(下一步)。
2012年8月系列
部署详情
21
步骤 11: 在Task Selector(任务选择器)中,选中Adhoc Task(临时任务)
,然后单击Next(下一步)。
步骤 14: 在返回至Add Tasks(添加任务)窗口后,单击Next(下一步)。
步骤 12: 单击Add Instance(添加实例),然后在新窗口中添加移除端口安
排配置所必要的CLI命令。
no switchport port-security aging time
no switchport port-security aging type
no switchport port-security violation
步骤 13: 单击Applicable Devices(适用设备),选择将采用这一配置的交
换机,单击Close(关闭),然后单击Save(保存)。
步骤 15: 填写任务描述,然后单击Next(下一步),提交任务立即进行部署。
步骤 16: 单击Finish(完成),然后当您收到任务已成功提交的通知时单击
OK。
2012年8月系列
部署详情
22
步骤 4: 在Select Condition(选择条件)下拉列表中,单击Compound
Condition(复合条件)旁边的“>”符号。
流程
启用无线网络可视化
1、为无线终端配置802.1X
2、禁用思科ISE上的EAP-TLS
3、添加ISE作为RADIUS认证服务器
4、添加ISE作为RADIUS记账服务器
5、启用DHCP profiling
步骤 5: 选择Wireless_802.1X,然后单击任意位置继续。
要对无线客户端进行认证,您需要配置无线局域网控制器(WLC),以使用新的
思科ISE服务器作为RADIUS服务器进行认证和记账。现有条目被禁用,以便如
果移至思科ISE后出现任何问题,您可以快速恢复原始配置。此外,将WLC配置
为DHCP服务器,以便能够从来自这些客户端的DHCP请求中获得分析信息并发
送给思科ISE。
程序 1

为无线终端配置802.1X
要区分认证日志中的无线用户,需要制定一条规则来确定无线用户进行认证的时
间。
步骤 1: 转至Policy > Authentication,打开Authentication Policy(身
份认证策略)页面。
步骤 6: 单击Select Network Access(选择网络访问)下拉菜单,并
单击Allowed Protocols(允许的协议)旁边的“>”符号,选择Default
Network Access(缺省网络访问)。
步骤 2: 对于默认规则,单击Actions(行动)按钮,然后选择Insert new
row above (在上插入新行)。这将生成一条新规则默认叫Standard Policy
1。
步骤 3: 重命名Standard Policy1为Wireless-Dot1X。单击Condition(s)
(条件)选项框中的“+”符号,并选择Select Existing Condition from
Library(从库中选择现有条件)。
2012年8月系列
部署详情
23
步骤 7: 单击Wireless-Dot1X规则“and…”右侧的黑色三角形。用于此规则
的身份存储库出现。
步骤 8: 单击Internal Users旁的“+”符号。
步骤 4: 取消选中全局Allow EAP-TLS(允许EAP-TLS)复选框,在PEAP
设置下,取消选中Allow EAP-TLS(允许EAP-TLS)复选框,然后单击Save(
保存)。
步骤 9: 在Identity Source(身份源)下拉列表中,选择先前定义的AD服务
器,如AD1。
步骤 10: 为这一身份源使用缺省选项,单击窗口中的任意位置继续,然后单击
Save(保存)。
程序 2

程序 3
禁用思科ISE上的EAP-TLS
对于当前未采用数字证书的无线部署,您需要禁用EAP-TLS,以允许客户端登
录。在本部署指南之后的阶段,您将部署数字证书。
步骤 1: 在菜单栏上,将鼠标置于Policy(策略)之上,然后在菜单的Policy
Elements(策略元素)部分,选择Results(结果)。
步骤 2: 在左侧窗格,双击Authentication(认证)。此操作将展开选项。
步骤 3: 双击Allowed Protocols(允许的协议),然后选择Default
Network Access(缺省网络访问)。
2012年8月系列

添加ISE作为RADIUS认证服务器
架构中的每一个无线局域网控制器(WLC)均需要执行这一程序,其中位于隔离
区(DMZ)的独立的访客WLC除外。
步骤 1: 访问https://wlc1.cisco.local,转至WLC控制台。
步骤 2: 在菜单栏,单击Security(安全性)。
步骤 3: 在左侧窗格中,单击RADIUS部分下的Authentication(认证)。
步骤 4: 单击New(新建)。一个新服务器被添加。
步骤 5: 在Server IP Address(服务器IP地址)栏内输入“10.4.48.41”,
然后输入您的RADIUS共享密钥。
部署详情
24
步骤 6: 在Management(管理)旁边,取消选择Enable(启用)复选框,之后
单击Apply(应用)。
步骤 7: 重复步骤 4至步骤 6,将备用引擎10.4.48.42添加到WLC配置。
添加思科ISE作为RADIUS服务器后,禁用当前使用的RADIUS服务器。通过禁
用服务器,而不是删除服务器,您可根据需要轻松切换回来。架构中的每一个无
线局域网控制器(WLC)均需要执行这一程序,其中位于隔离区(DMZ)的独立
访客WLC例外。
步骤 8: 在RADIUS Authentication Servers(RADIUS认证服务器)页
面,单击原始RADIUS服务器的Server Index(服务器索引),针对Server
Status(服务器状态)选择Disabled(禁用)。单击Apply(应用)。
2012年8月系列
步骤 9: 在RADIUS Authentication Servers(RADIUS认证服务器)界面,
单击Apply(应用)。
程序 4

添加ISE作为RADIUS记账服务器
架构中的每一个无线局域网控制器(WLC)均需要执行这一程序,其中位于隔离
区(DMZ)的独立来宾WLC例外。
步骤 1: 在菜单栏,单击Security(安全性)。
步骤 2: 在左侧窗格中,单击RADIUS部分下的Accounting(记账)。
步骤 3: 单击New(新建)。一台新服务器被添加。
部署详情
25
步骤 4: 在Server IP Address栏内输入“10.4.48.41”,并输入您的
RADIUS共享密钥,然后单击Apply(应用)。
程序 5

启用DHCP profiling
您需要为WLC配置启用DHCP profiling,以发送DHCP信息到ISE引擎来进行
终端分析。
步骤 1: 在WLC上,转至WLANs,然后选择您需要检测SSID的WLAN ID。
步骤 2: 在“高级”选项卡,在Client Profiling(客户端剖析)部分,选择DHCP
Profiling(DHCP分析)。
步骤 5: 重复步骤 3至步骤 4,将备用引擎10.4.48.42添加到WLC配置。
步骤 6: 在RADIUS Accounting Servers(RADIUS记账服务器)页面,
单击原始RADIUS服务器的Server Index(服务器索引),然后针对Server
Status(服务器状态)选择Disabled(禁用)。单击Apply(应用)。
步骤 7: 在RADIUS Accounting Servers(RADIUS记账服务器)界面,单击
Apply(应用)。
步骤 3: 当出现关于启用DHCP Reqd 和关闭本地认证消息时,单击OK(确
定),然后单击Apply(应用)。
步骤 4: 当出现一条消息,提示需要禁用WLAN时,单击OK(确定)。
目前,网络基础设施已启用,以便监控网络,进而确定连接设备的类型。另外,针
对无线网络我们还启用了采用思科ISE的认证。这一部署阶段非常适合用来测试
部署和监控网络访问。一些企业机构可能不需要实施下一阶段,可选择在此阶段
停止。
2012年8月系列
部署详情
26
流程
读者提示
部署数字证书
1、安装证书颁发机构
2、为域安装可信的根证书
关于安装证书颁发机构的详细信息,请参阅Microsoft Windows
Server2008 Active Directory证书服务步骤分步指南:
http://technet.microsoft.com/en-us/library/
cc772393%28WS.10%29.aspx
3、在AD服务器中安装可信的根
4、从CA请求用于ISE的证书
程序 2

为域安装可信的根证书
在AD控制器上安装可信的根证书并将其分发至客户端,以便来自CA服务器的证
书成为可信的证书。
5、下载CA根证书
6、颁发用于思科ISE的证书
7、在思科ISE中安装可信的根证书
8、在思科ISE中安装本地证书
9、删除旧的证书和请求
步骤 1: 在CA控制台中,启动Web浏览器,然后连接至证书颁发机构,https://
ca.cisco.local/certsrv。
步骤 2: 单击Download a CA certificate, certificate chain, or
CRL(下载CA证书、证书链或CRL)。
步骤 3: 确保选择当前证书,然后选择DER编码方法。
在部署的下一阶段,您要配置基础设施,以支持将数字证书用于用户和设备身份
认证。在部署802.1X时使用数字证书是思科的一项最佳实践。在该部署示例中,
您将向Microsoft Windows XP、Windows 7终端以及Apple Mac OS X设
备部署数字证书。您将使用的证书颁发机构(CA)是嵌入至Windows Server
2008 Enterprise的一个组件,您将在现有活动目录(AD)服务器中将其启用。
程序 1

安装证书颁发机构
步骤 1: 在AD服务器上安装企业根证书颁发机构。
2012年8月系列
部署详情
27
步骤 4: 单击Download CA Certificate(下载CA证书),然后在AD控制
器中保存证书文件。
步骤 7: 右键单击Default Domain Policy(缺省域策略),然后选择Edit(
编辑)。
步骤 5: 在AD控制台中,转至Start(开始)> Administrative Tools(管理
工具)> Group Policy Management(组策略管理)。
步骤 6: 依次展开Forest(目录林),Domain(域),local domain(本地
域)和Group Policy Objects(组策略对象)。
2012年8月系列
部署详情
28
步骤 8: 转至Computer Configuration(计算机配置)> Policies(策
略)> Windows Settings(Windows设置)> Security Settings(安
全设置)> Public Key Policies(公钥策略),右键单击Trusted Root
Certification Authorities(可信的根证书颁发机构),然后选择Import(导
入)。Certificate Import Wizard(证书导入向导)将启动。
步骤 10: 单击Browse(浏览),找到在步骤 2中保存的可信的根证书,然后单
击Next(下一步)。
步骤 9: 单击Next(下一步)。
步骤 11: 将证书放入Trusted Root Certification Authorities(可信的根证
书颁发机构)证书存储库,然后单击Next(下一步)。
步骤 12: 单击Finish(完成)。证书导入。
步骤 13: 单击OK(确定)结束设置向导。
程序 3

在AD服务器中安装可信的根
除了在AD服务器中安装用来分发至工作站的可信的根证书,您还需要将其直接
安装在AD服务器中。GPO更新将自动完成该步骤。在此程序中,您将被强制立即
运行该更新。
2012年8月系列
部署详情
29
步骤 1: 在AD控制台中,转至Start(开始)> Run(运行)。
步骤 2: 键入cmd,然后按Enter。打开一个命令窗口。
步骤 4: 单击Add(添加),然后选择Generate Certificate Signing
Request(生成证书签名请求)。
步骤 3: 键入gpupdate。组策略进行更新。
gpupdate
步骤 5: 在Certificate Subject(证书主题)字段中的“CN=”后,输入思科
ISE服务器的完全合格域名(FQDN),然后单击Submit(提交)。
程序 4

从CA请求用于ISE的证书
为了从CA获得证书,思科ISE需要生成一个签名请求,CA将使用它来生成证书。
步骤 1: 连接至https://ise-1.cisco.local。
步骤 6: 一条确认信心将告知您证书成功生成,单击OK(确认)。
步骤 7: 单击Certificate Signing Requests(证书签名请求),选中新请
求旁边的复选框,然后单击Export(导出)。
步骤 2: 将鼠标置于Administration(管理)之上,然后在菜单的System(
系统)部分,选择Certificates(证书)。
步骤 3: 在Certificate Operations(证书操作)下,选择Local
Certificates(本地证书)。
步骤 8: 将文件保存至您的本地计算机。您将使用该文件在CA中生成用于思科
ISE的证书。
2012年8月系列
部署详情
30
步骤 5: 选中所有文本并将其复制到剪贴板。
程序 5

下载CA根证书
步骤 1: 转至https://ca.cisco.local/certsrv。
步骤 2: 单击Download a CA certificate, certificate chain, or
CRL(下载CA证书、证书链或CRL)。
步骤 6: 在浏览器中,在提交一个证书请求或更新请求页面,在Saved
Request(保存请求)栏,粘贴证书内容。
步骤 7: 在Certificate Template(证书模板)下拉列表中,选择Web
Server(Web服务器),然后单击Submit(提交)。
步骤 3: 确保选择当前证书,然后选择DER编码方法。
步骤 4: 单击Download CA Certificate(下载CA证书),然后在本地计算
机中保存证书文件。
步骤 8: 选择DER encoded(DER已编码),然后单击Download
certificate(下载证书)。证书将保存至您的本地计算机。
程序 7
程序 6

颁发用于思科ISE的证书
步骤 1: 单击Home(主页)。CA主页将显示。

在思科ISE中安装可信的根证书
步骤 1: 在思科ISE界面中,将光标置于Administration(管理)上,然后从菜
单的System(系统)部分中选择Certificates(证书)。
步骤 2: 单击Certificate Store(证书商店),然后单击Import(导入)。
步骤 2: 单击Request a certificate(请求一个证书)。
步骤 3: 单击advanced certificate request(高级证书请求)。
步骤 4: 在Notepad等文本编辑器中,打开在程序4“从CA请求用于ISE的证
书”中保存的证书文件。
2012年8月系列
部署详情
31
步骤 3: 单击Browse(浏览),然后找到在程序5“下载CA根证书”中保存的根
CA证书。
步骤 4: 选择Trust for client authentication(信任客户端认证),然后
单击Submit(提交)。
程序 8

步骤 5: 在Protocol(协议)部分中,同时选中EAP和Management
Interface(管理接口)复选框。当您收到一条消息,提示选择选择
Management Interface(管理接口)将需要重新启动思科ISE设备,单击
OK(确定),然后单击Submit(提交)。
在思科ISE中安装本地证书
步骤 1: 在思科ISE界面中,将光标置于Administration(管理)上,然后从菜
单的System(系统)部分中选择Certificates(证书)。
步骤 2: 单击Local Certificates(本地证书)。
步骤 3: 单击Add(添加),然后选择Bind CA Certificate(绑定CA证书)
。
步骤 6: 当您收到信息提示思科ISE设备将重启时,单击OK(确定)。
程序 9

删除旧的证书和请求
现在,您已经把本地证书导入至思科ISE,您需要删除旧的自签名证书和以前生成
的证书签名请求。
步骤 1: 在思科ISE界面中,将光标置于Administration(管理)上,然后从
System(系统)部分中选择Certificates(证书)。
步骤 2: 单击Local Certificates(本地证书)。
步骤 4: 单击Browse(浏览),找到在程序 6“颁发用于思科ISE的证书”中保
存的证书。
2012年8月系列
部署详情
32
步骤 3: 选中自签名证书旁边的复选框。这是由思科ISE设备颁发的证书,而不
是刚刚导入的由CA颁发的证书。
流程
启用802.1X认证
1、创建Cisco ISE策略
2、启用证书
步骤 4: 单击Delete(删除),然后单击OK(确定)。
步骤 5: 单击Certificate Signing Requests(证书签名请求)。
步骤 6: 选中在程序4“从CA请求用于ISE的证书”中创建的Certificate
Signing Request(证书签名请求)旁边的复选框。
3、启用EAP-TLS
您将配置思科ISE策略,以支持使用数字证书对有线和无线用户进行802.1X认
证。
程序 1

创建 Cisco ISE 策略
认证配置文件用于确定如何将证书用于认证。
步骤 1: 在思科ISE中,将光标置于Administration(管理)上,然后
在Identity Management(身份管理)部分,选择External Identity
Sources(外部身份源)。
步骤 7: 单击Delete(删除),然后单击OK(确定)。
2012年8月系列
步骤 2: 在左侧窗格中,单击Certificate Authentication Profile(证书
认证配置文件),然后单击Add(添加)。
部署详情
33
步骤 3: 为配置文件创建有意义的名称,然后从Principal Username
X509 Attribute(主用户名X509属性)下拉列表中,选择Subject
Alternative Name(主题备用名称)。
步骤 8: 在Advanced Search List Settings(高级搜索列表设置)部分,选
择Treat as if the user was not found and proceed to the next
store in the sequence(视为未找到用户并转至序列中的下一个存储库),
单击Submit(提交)。
身份源序列允许将证书用作身份库,也允许在主用身份库不可用时将证书作为备
用身份库。
步骤 4: 单击Identity Source Sequences(身份源序列),然后单击
Add(添加)。
程序 2

启用证书
既然您已经创建了证书认证配置文件和用于数字证书的身份源序列,现在您需要
为有线和无线用户启用802.1X认证策略。
步骤 5: 为序列创建有意义的名称。
步骤 6: 在Certificate Based Authentication(基于证书的认证)部分,选
择Select Certificate Authentication Profile(选择证书认证配置文
件),然后选择先前创建的配置文件。
步骤 7: 在Authentication Search List(认证搜索列表)部分,从
Available(可用)列表中双击AD服务器,然后将其移动至Selected(已选中)
列表。
2012年8月系列
步骤 1: 将鼠标置于Policy(策略)之上,然后从菜单中选择
Authentication(认证)。
步骤 2: 单击Wired-Dot1X规则“and…”右侧的黑色三角形。用于此规则的
身份存储库出现。
步骤 3: 单击AD1身份存储库项旁边的“+”号。
部署详情
34
步骤 4: 在Identity Source(身份存储库)下拉列表中,选择在程序1“创建
思科ISE策略”中创建的身份源序列,针对该身份源使用默认选项,然后单击窗口
中的任意位置继续。
步骤 6: 为该规则输入名称,然后通过单击Enter Condition(输入条件)框
旁边的“+”符号打开表达式生成器。
步骤 7: 单击Create New Condition(Advance Option)(创建新条件(
高级选项))。
步骤 8: 在Expression(表达式)下拉列表中,单击Select Attribute(选
择属性)旁边的箭头。
步骤 9: 单击Network Access(网络访问)旁边的箭头,然后选择
EapAuthentication 。
对于无线用户,您应将认证策略修改为首先检查客户端是否使用了EAP-TLS,
如果没有使用,则允许其采用例如受保护的可扩展身份认证协议(Protected
Extensible Authentication Protocol 简称PEAP)等认证方法,将用户名
和密码作为证书。这使得未获得证书的用户也可以访问网络。一旦他们连接至网
络,Windows客户端将向其推送证书,其他终端可以手动获取证书。
步骤 10: 在第二个下拉列表中,选择Equals(等于),在最后一个下拉列表中,
选择EAP-TLS,然后单击OK(确定)。
步骤 5: 单击Wireless-Dot1X规则“and…”右侧的黑色三角形。用于此规则
的身份存储库出现。在Default(缺省)规则下Actions(行动)的下拉列表中,
选择Insert new rule above(在上方插入新规则)。
步骤 11: 单击Internal Users(内部用户)旁边的“+”号。
2012年8月系列
部署详情
35
步骤 12: 在Identity Store(身份存储库)下拉列表中,选择在程序1“创建思
科ISE策略”中创建的身份源序列,针对该身份源使用默认选项,然后单击窗口中
的任意位置继续。
步骤 4: 选择全局Allow EAP-TLS(允许EAP-TLS)复选框,在PEAP设置
下,选择Allow EAP-TLS(允许EAP-TLS)复选框,然后单击Save(保存)。
步骤 13: 单击Save(保存)。
程序 3

启用EAP-TLS
在上一节中,您禁用了EAP-TLS。既然您准备使用数字证书,现在您需要重新将
其启用。
步骤 1: 在菜单栏上,将鼠标置于Policy(策略)之上,然后在Policy
Elements(策略元素)部分,选择Results(结果)。
步骤 2: 在左侧窗格,双击Authentication(认证)。
步骤 3: 双击Allowed Protocols(允许的协议),然后选择Default
Network Access(缺省网络访问)。
2012年8月系列
部署详情
36
步骤 2: 展开CA服务器,右键单击Certificate Templates(证书模板),然
后选择Manage(管理)。Certificate Templates Console(证书模板控制
台)打开。
流程
配置组策略对象
1、创建工作站模板
2、创建用户自动登入模板
3、为有线终端配置GPO
4、为无线终端配置GPO
在本部署中,您将使用组策略对象(GPO)分发证书,并为Windows XP和属于域
成员的其他终端配置本机802.1X请求者。当计算机加入域,并且用户证书部署
至用户用来登录至域的终端以后,计算机证书将分发。本部署示例中的步骤介绍
了如何编辑Default Domain Policy(缺省域策略),以便它可以应用至所有用
户。如果需要,您也可以创建新的策略对象并将其应用至用户的子集。
程序 1

创建工作站模板
您需要在CA中创建一个证书模板,用于将计算机证书分发至加入活动目录(AD)
域的工作站。
步骤 1: 在CA控制台中,转至Start(开始)> Administrative Tools(管理
工具)> Certification Authority(证书颁发机构)。
步骤 3: 右键单击Computer(计算机)模板,然后选择Duplicate
Template(复制模板)。
步骤 4: 为实现兼容性,请确保选中Windows 2003 Server Enterprise
。
步骤 5: 在模板属性窗口中,单击General(常规)选项卡,然后提供模板名称。
步骤 6: 在Request Handling(请求处理)选项卡中,选择Allow private
key to be exported(允许密钥导出),然后单击CSPs 。
2012年8月系列
部署详情
37
步骤 7: 选择Requests must use one of the following CSPs(请
求必须使用以下CSP之一)和Microsoft Enhanced Cryptographic
Provider v1.0,然后单击OK(确定)。
步骤 8: 在Security(安全性)选项卡中,单击Domain Computers(域计算
机),然后确保为Enroll( 登入)和Autoenroll(自动登入)选择Allow(允许)
。
步骤 9: 其余选项卡使用默认值,然后单击OK(确定)。
步骤 10: 关闭Certificate Templates Console(证书模板控制台)。
2012年8月系列
部署详情
38
步骤 11: 在Certificate Authority(证书颁发机构)控制台中,右键
单击Certificate Templates(证书模板),然后选择New(新建)>
Certificate Template to Issue(要颁发的证书模板)。
步骤 12: 选择先前定义的模板,然后单击OK(确定)。
当计算机加入域或GPO策略刷新后(缺省期限为90分钟),计算机将收到计算机
证书,以支持802.1X计算机认证。
程序 2

创建用户自动登入模板
本部署可通过组策略对象(GPO)使域用户自动登入,在他们登录域时获取证书。
您需要为这些用户创建一个模板以便支持自动登入。
步骤 1: 在CA控制台中,转至Start(开始)> Administrative Tools(管理
工具)> Certification Authority(证书颁发机构)。
2012年8月系列
部署详情
39
步骤 2: 展开CA服务器,右键单击Certificate Templates(证书模板),然
后选择Manage(管理)。Certificate Templates Console(证书模板控制
台)打开。
步骤 7: 选择Requests must use one of the following CSPs(请
求必须使用以下CSP之一)和Microsoft Enhanced Cryptographic
Provider v1.0,然后单击OK(确定)。
步骤 8: 在Security(安全性)选项卡中,单击Domain Users(域用户),
然后确保为Read(读取)、Enroll( 登入)和Autoenroll(自动登入)选择
Allow(允许)。
步骤 3: 右键单击User(用户)模板,然后选择Duplicate Template(复制
模板)。
步骤 4: 为了与Windows XP兼容,请确保选中Windows 2003 Server
Enterprise 。
步骤 5: 在模板属性窗口中,单击General(常规)选项卡,然后提供模板名称。
步骤 6: 在Request Handling(请求处理)选项卡中,选择Allow private
key to be exported(允许私钥导出),确保选中Enroll subject without
requiring any user input(登入主题无需任何用户输入),然后单击CSP
s。
步骤 9: 其余选项卡使用默认值,然后单击OK(确定)。
2012年8月系列
部署详情
40
步骤 10: 关闭Certificate Templates Console(证书模板控制台)。
步骤 12: 选择先前定义的模板,然后单击OK(确定)。
步骤 11: 在Certificate Authority(证书颁发机构)控制台中,右键
单击Certificate Templates(证书模板),然后选择New(新建)>
Certificate Template to Issue(要颁发的证书模板)。
当用户下一次登录域或GPO策略刷新后,用户将收到推送至其的证书。如果用户
登录至多个终端,将为每一个都部署证书。
程序 3

为有线终端配置GPO
该部署使用GPO为运行Windows XP SP3和更高版本的有线终端配置802.1X
请求。
步骤 1: 在CA控制台中,转至Start(开始)> Administrative Tools(管理
工具)> Group Policy Management(组策略管理)。
步骤 2: 展开Forest(目录林)> Domain(域)>local domain(本地
域)>Group Policy Objects(组策略对象)。
步骤 3: 右键单击Default Domain Policy(缺省域策略)。Group Policy
Management Editor(组策略管理编辑器)打开。
步骤 4: 在Group Policy Management Editor(组策略管理编辑器)
中,转至Computer Configuration(计算机配置)> Policies(策略)>
Windows Settings(Windows设置)> Security Settings(安全设置)
。
2012年8月系列
部署详情
41
步骤 5: 右键单击Wired Network (IEEE 802.3e) Policies(有线网络
(IEEE 802.3e)策略),然后选择Create a New Wired Network Policy
for Windows Vista and Later Releases(为Windows Vista和更新
版本创建新的有线网络策略)。
步骤 10: 单击Properties (属性)。
步骤 11: 确保Use a certificate on this computer(在这台电脑上使用
证书)被选中,然后确认Use simple certificate selection(使用简单证书
选择)和Validate server certificate(验证服务器证书)被选中。
步骤 12: 在Trusted Root Certification Authorities(可信的根证书颁
发机构)列表中,选中CA根证书旁边的复选框。
步骤 13: 单击OK(确定)关闭证书属性窗口。
步骤 14: 在策略属性窗口,单击Apply(应用),然后再次单击OK(确认)。
程序 4

为无线终端配置GPO
该部署使用GPO为运行Windows XP SP3和更高版本的无线终端配置802.1X
请求。
步骤 1: 在CA控制台中,转至Start(开始)> Administrative Tools(管理
工具)> Group Policy Management(组策略管理)。
步骤 2: 展开Forest(目录林)> Domain(域)>local domain(本地
域)>Group Policy Objects(组策略对象)。
步骤 6: 在General(常规)选项卡中,提供策略名称和描述,并确保选中Use
Windows Wired Auto Config service for clients(为客户端使用
Windows Wired Auto Config服务)。
步骤 7: 在General(常规)选项卡中,确保选中Enable of IEEE 802.1X
authentication for network access(启用IEEE 802.1X身份认证的网
络访问)。
步骤 3: 右键单击Default Domain Policy(缺省域策略)。Group Policy
Management Editor(组策略管理编辑器)打开。
步骤 4: 在Group Policy Management Editor(组策略管理编辑器)
中,转至Computer Configuration(计算机配置)> Policies(策略)>
Windows Settings(Windows设置)> Security Settings(安全设置)
。
步骤 8: 在Network Authentication Method(网络身份认证方法)菜单
下,选择Microsoft: Smart Card or other certificate(微软:智能卡或
其他证书)。
步骤 9: 在Authentication Mode(身份认证模式)菜单下,选择User or
computer authentication(用户或计算机的身份认证)。
2012年8月系列
部署详情
42
步骤 5: 右键单击Wireless Network (IEEE 802.11) Policies(无线网
络 (IEEE 802.11)策略),然后选择Create a New Wireless Network
Policy for Windows Vista and Later Releases(为Windows Vista
和更新版本创建新的无线网络策略)。
步骤 7: 单击Add(添加),然后选择Infrastructure(基础架构)。
步骤 6: 在General(常规)选项卡中,提供策略名称和描述,并确保选中Use
Windows WLAN AutoConfig service for clients(为客户端使用
Windows WLAN AutoConfig服务)。
步骤 8: 为配置文件提供名称,输入无线网络的SSID名称,然后单击Add(添
加)。
步骤 9: 在Security(安全性)选项卡下Authentication(认证)下拉列表
中,选择WPA2-Enterprise,然后在Encryption(加密)下拉列表中,选择
AES 。
步骤 10: 在Select a network authentication method(选择
网络身份认证方法)列表中,选择Microsoft: Smart Card or other
certificate(微软:智能卡或其他证书)。
2012年8月系列
部署详情
43
步骤 11: 在Authentication Mode(认证模式)下拉列表中,选择User or
computer authentication(用户或计算机认证)。
步骤 16: 在policy properties(策略属性)窗口单击Apply(应用),然后再单
击OK(确定)。
接下来,为Windows XP客户端创建一个策略。
步骤 17: 右键单击Wireless Network (IEEE 802.11) Policies(无线网
络(IEEE 802.11)策略),选择Create a New Windows XP Policy(创
建一个新的Windows XP策略)。
步骤 12: 单击Properties(属性)。
步骤 13: 确保选中Use a certificate on this computer(在该计算机中
使用证书)选项,并确保选中Use simple certificate selection(使用简单
证书选择)和Validate server certificate(验证服务器证书)复选框。
步骤 18: 在General(常规)选项卡中,提供策略名称和描述,并确保选中Use
Windows WLAN AutoConfig service for clients(为客户端使用
Windows WLAN AutoConfig服务)。
步骤 14: 在Trusted Root Certification Authorities(可信的根证书颁
发机构)列表中,选中CA根证书旁边的复选框。
步骤 15: 单击OK(确定)关闭certificate properties(证书属性)窗口,然后
再次单击OK(确定)关闭profile properties(配置文件属性)窗口。
2012年8月系列
部署详情
44
步骤 19: 在Networks to access(要接入的网络)列表中,选择Any
available network (access point preferred)(任意可用网络(首选接
入点))。
步骤 20: 在Preferred Networks(首选网络)选项卡下,单击Add(添加),
然后选择Infrastructure(基础架构)。
步骤 21: 输入网络的SSID并提供描述。
步骤 22: 在Authentication(认证)菜单下,选择WPA2,然后在
Encryption(加密)菜单下选择AES。
步骤 24: 在Authentication Mode(认证模式)列表中,选择User or
computer authentication(用户或计算机认证)。
步骤 25: 单击Settings(设置)。
步骤 26: 确保选中Use a certificate on this computer(在该计算机中
使用证书)选项,并确保选中Use simple certificate selection(使用简单
证书选择)和Validate server certificate(验证服务器证书)复选框。
步骤 23: 在IEEE 802.1X选项卡下,在EAP type(EAP类型)列表中,选择
Microsoft: Smart Card or other certificate(Microsoft: Smart
Card或其他证书)。
2012年8月系列
部署详情
45
步骤 27: 在Trusted Root Certification Authorities(可信的根证书颁
发机构)列表中,选中CA根证书旁边的复选框,单击OK(确认)。
策略刷新后,将拥有推送的802.1X请求者配置。
步骤 28: 在Profile Properties(配置文件属性)窗口,单击Apply(应用),
然后单击OK(确认)。
步骤 29: 在policy properties(策略属性)窗口,单击Apply(应用),然后单
击OK(确认)。
此时,所有运行Windows XP SP3和更新版本的终端在下一次登录域时或GPO
2012年8月系列
部署详情
46
流程
技术提示
在Windows终端上部署思科AnyConnect
1、安装思科 AnyConnect
2、安装Profile Editor
3、创建有线配置文件
4、创建无线配置文件
在使用Network Access Manager模块的Windows终端中,Cisco
AnyConnect Secure Mobility Client 3.0可以用作802.1X请求者。在本部
署示例中,Network Access Manager通过采用数字证书的有线和无线配置
文件进行配置。
程序 1

安装思科 AnyConnect
如欲使用相同策略将Cisco AnyConnect Secure Mobility客户
端部署至多个工作站,您可以创建一个定制安装包。您需要将安装
盘中的所有文件复制到硬盘中的文件夹中,例如C:\AnyConnect。
然后,按照上述程序编辑配置文件。将文件(C:\ProgramData\
Cisco\Cisco AnyConnect Secure Mobility Client\Network
Access Manager\system\configuration.xml)复制到C:\
AnyConnect\Profiles\nam\configuration.xml。
将C:\AnyConnect的内容复制到某种可移动介质上,例如
CD、DVD或USB驱动器等。然后,您可以使用这一新的安装程序包,
在工作站中运行安装。定制配置文件已加载,随时可用。
步骤 1: 通过在磁盘中启动Setup(设置)程序,启动思科AnyConnect
Secure Mobility客户端的安装程序。
如欲将Cisco AnyConnect Secure Mobility Client 3.0用作Windows终
端上的802.1X请求者,您需要从Cisco.com中下载最新版本和Profile Editor。
该客户端作为ISO镜像分发,将需要刻录至磁盘,或通过提供该功能的实用程序
作为磁盘镜像安装。为安装AnyConnect Secure Mobility客户端,您需要以
管理员的身份登录。
最新版本的Cisco AnyConnect Secure Mobility客户端和Profile Editor可
从以下地址下载: http://www.cisco.com/cisco/software/release.html?mdfid=2830001
85&flowid=17001&softwareid=282364313&release=3.0.08057&reli
nd=AVAILABLE&rellifecycle=&reltype=latest
2012年8月系列
部署详情
47
步骤 2: 选择AnyConnect Diagnostic and Reporting
Tool( AnyConnect诊断和报告工具)和AnyConnect Network Access
Manager(AnyConnect网络访问管理器),然后取消选中其他所有的复选
框。
程序 2

安装Profile Editor
步骤 1: 找到以前下载的Profile Editor Installer(Profile Editor安装程序)
,然后双击。安装流程开始。
安装需要Java Runtime Environment 1.6或更高版本。如果您还没有安装,
系统将提示您进行安装。
步骤 2: 如果系统提示安装Java Runtime Environment 1.6或更高版本,请
单击Next(下一步)。这样便可以完成安装。
步骤 3: 单击Next(下一步)。Profile Editor的安装将继续。
步骤 4: 单击Typical(典型),然后单击Install(安装)。
步骤 5: 单击Finish(完成)。安装完成。
程序 3

创建有线配置文件
步骤 1: 通过转至Start(开始)> All Programs(所有程序)> Cisco>
Cisco AnyConnect Profiler Editor > Network Access Manager
Profile Editor,启动Profile Editor 。
步骤 2: 从File(文件)菜单中,选择Open(打开),并选择C:\
ProgramData\ Cisco\Cisco AnyConnect Secure Mobility
Client\Network Access Manager\system\configuration.xml 。
步骤 3: 单击Install Selected(安装已选择),验证已选择要安装的组件,然
后单击OK(确定)。
步骤 3: 单击Networks(网络)。
步骤 4: 单击Accept(接受),接受许可协议。
步骤 5: 在安装完成后,单击OK(确定)。系统可能会要求您重新启动计算机。
2012年8月系列
部署详情
48
步骤 4: 选择有线配置文件,然后单击Edit(编辑)。
步骤 11: 为用户身份输入不受保护的身份模式。在本部署中,使用
[username]@[domain]。
步骤 12: 在User Credentials(用户凭证)部分,选择Prompt for
Credentials(凭证提示),然后选择Remember while User is Logged
On(记住用户登录)。
步骤 13: 在Certificate Sources(证书来源)界面下,选择Smart Card
or OS certificates(Smart Card或OS证书),然后单击Done(完成)。
步骤 5: 输入配置文件名称,然后单击Next(下一步)。
步骤 6: 选择Authenticating Network(身份认证网络),然后单击Next(
下一步)。
步骤 7: 选择Machine and User Authentication(计算机和用户认证),
然后单击Next(下一步)。
步骤 8: 选择EAP-TLS作为计算机认证方法,然后单击Next(下一步)。
步骤 9: 为计算机身份输入不受保护的身份模式。在本部署中,使用host.
[domain]。然后单击Next(下一步)。
步骤 10: 对于用户的身份认证方法,选择EAP-TLS作为用户认证方法,然后单
击Next(下一步)。
2012年8月系列
程序 4

创建无线配置文件
步骤 1: 在Profile Editor (配置文件编辑器)界面下,单击Add(添加)。这
将创建一个新的无线配置文件。
步骤 2: 为该配置文件输入一个名称,然后在group membership(组成员关
系)下选择In all groups (Global)(在所有组中(全局))。
部署详情
49
步骤 3: 在Network Media(网络介质)部分,选择Wi-Fi (wireless)
Network(Wi-Fi (无线)网络),输入无线网络的SSID,然后单击Next(下一
步)。
步骤 9: 为用户身份输入不受保护的身份模式。在本部署中,使用[username]@
[domain]。
步骤 10: 在User Credentials(用户凭证)部分,选择Prompt for
Credentials(凭证提示),然后选择Remember while User is Logged
On(记住用户登录)。
步骤 11: 在Certificate Sources(证书源)界面下,选择Smart Card or
OS certificates(Smart Card或OS证书),然后单击Done(完成)。
步骤 12: 从File(文件)菜单中,选择Save(保存)。这样将更新配置文件。
此时,所有Windows终端都已部署证书,并可以使用802.1X认证。在无线网络
中,任何不具有证书的设备都可以使用PEAP获取网络访问权限。监控模式在有
线网络中运行,因此未针对802.1X进行配置的终端仍可以通过MAC认证旁路
(MAB)获得访问权限。
步骤 4: 选中Authenticating Network(身份认证网络),选择WPA2
Enterprise (AES)作为关联模式,然后单击Next(下一步)。
步骤 5: 选择Machine and User Authentication(计算机和用户认证),
然后单击Next(下一步)。
步骤 6: 选择EAP-TLS作为计算机认证方法,然后单击Next(下一步)。
步骤 7: 为计算机身份输入不受保护的身份模式。在本部署中,使用host.
[domain],单击Next(下一步)。
步骤 8: 选择EAP-TLS作为用户认证方法,然后单击Next(下一步)。
2012年8月系列
部署详情
50
流程
技术提示
配置Mac工作站,以支持802.1X认证
系统可能会要求您提供用户凭证,以便准许更改证书信任设置。
1、在Mac OS X上安装根证书
步骤 6: 单击Always Trust(始终信任)。
2、请求用户证书
3、配置Mac OS X请求者
如果您拥有Apple Mac终端,您必须手动获取证书,并配置802.1X认证。本部
署示例介绍了如何为Mac OS X 10.6执行该操作。
程序 1

在Mac OS X上安装根证书
如欲在Mac OS X 10.6上安装可信的根证书,您需要从CA中手动请求证书,并
将该证书安装在密钥链中。
步骤 1: 在Mac中,转至CA,网址:http://ca.cisco.local/certsrv 。
步骤 2: 单击Download a CA certificate(下载一个CA证书),
certificate chain(证书链), 或者CRL。
步骤 3: 确保选择当前证书,然后选择DER编码方法。
步骤 4: 单击Download CA Certificate(下载CA证书),然后保存证书文
件。
程序 2

请求用户证书
下一步,您需要获取用于Mac的用户证书。为完成该步骤,您首先需要生成一个
证书签名请求,然后从CA中请求证书。
步骤 5: 找到证书文件,然后双击。该操作将启动Keychain Access(密钥链访
问)实用程序。
2012年8月系列
部署详情
51
步骤 1: 在Keychain Access实用程序中,从Keychain Access(密钥
链接入)菜单中,选择Certificate Assistant(证书助理)> Request a
Certificate from a Certificate Authority(从证书颁发机构请求一个
证书)。
步骤 5: 在Mac中,转至http://ca.cisco.local/certsrv 。
步骤 6: 对您希望获取CA证书的用户进行认证。
技术提示
如果您在下载可信的根证书时仍保持浏览器窗口打开,请单击右上角
的Home“主页”返回CA的主页面。
步骤 7: 单击Request a certificate(请求一个证书)。
步骤 2: 在Certificate Assistant(证书助理)中,输入您的电子邮件地址和通
用名称(通常为用户的姓和名),选择Saved to Disk(保存至磁盘),然后单击
Continue(继续)。
步骤 8: 单击advanced certificate request(高级证书请求)。
步骤 9: 在TextEdit等文本编辑器中打开在步骤 3中保存的认证请求文件。
步骤 10: 全选所有文字,然后将其复制到剪贴板。
步骤 11: 在浏览器打开的Submit a Certificate Request(提交证书申请)
或Renewal Request(更新要求)页面中,将该内容粘贴到Saved Request(
已保存请求)文本框中。
步骤 3: 输入文件名和位置,然后单击Save(保存)。
步骤 4: 单击Done(完成)。
2012年8月系列
部署详情
52
步骤 12: 在Certificate Template(证书模板)下拉列表中,选择User(用
户),然后单击Submit(提交)。
程序 3

配置Mac OS X请求者
步骤 1: 在您的Mac上,启动System Preferences(系统首选项)。
步骤 2: 双击Network(网络)。
步骤 3: 单击Advanced(高级),然后单击802.1X选项卡。
步骤 4: 单击“+”号,并选择Add User Profile(添加用户配置文件)。
步骤 13: 选择DER encoded(DER已编码),然后单击Download
certificate(下载证书)。这样将保存证书。
步骤 14: 在Finder(查找器)中找到已保存的证书,然后双击将其导入至密钥
链访问实用程序。
步骤 15: 在Keychain(密钥链)下拉列表中,选择login(登录),然后单击
Add(添加)。
步骤 5: 为配置文件输入名称,然后输入用户名和密码。
步骤 6: 在Authentication(认证)部分,选择TLS,然后单击Configure(
配置)。
2012年8月系列
部署详情
53
步骤 7: 为该用户选择证书,然后单击Continue(继续)。
步骤 8: 如果您使用一个无线连接,在Wireless Network(无线网络)下拉
菜单中选择wireless network(无线网络)。
步骤 9: 在Security Type(安全性类型)列表中选择WPA2 Enterprise,
然后单击OK(确认)。
上安装了证书上并配置802.1X请求。在认证成功后,终端被授予完全的网络访
问。然而,monitor(监控)模式允许失败802.1X的终端用MAB访问网络。这一
点很重要,在影响到用户的连接前,我们需要停下验证证书是否被正确的部署,
终端和请求是否被正确的配置。您可以监控日志以确定谁身份认证失败,然后纠
正这些问题。
接下来将要部署一些形式的授权,以控制哪些身份认证的终端可以访问网络。下
一个阶段被称为low-impact mode(低影响模式)。在低影响模式下,终端通过
802.1X或MAB进行身份认证。MAB用于需要访问网络但不支持802.1X或不配
置802.1X的设备。在这个例子中,我们使用MAB认证已用device profiling(
设备识别)出的IP电话和无线接入点AP。任何其他设备必须通过802.1X身份认
证,否则无法访问网络。身份认证后,终端给予了完全的访问网络权限,但在认证
之前,终端只能访问进行身份认证所必需的服务。
步骤 10: 单击Apply(应用),然后退出System Preferences(系统首选项)
。
针对所有Mac OS X终端重复此流程,以部署证书并启用802.1X认证。在无线
网络中,任何不具有证书的设备都可以使用PEAP获取网络访问权限。监控模式
在有线网络中运行,因此未针对802.1X进行配置终端仍可以通过MAC认证旁路
(MAB)获得访问权限。
启用授权
现在的网络基础设施已配置了监控模式下的8021.X身份认证,并且您已在终端
2012年8月系列
部署详情
54
流程
流程
启用思科IP电话授权
启用无线接入点的授权
1、启用思科IP电话策略
1、创建一个身份组
2、创建授权配置文件
如之前章节所述,思科ISE有一个内置的IP电话策略是被关闭的。您将启用此策
略,并为思科IP电话创建一个授权配置文件。
程序 1

启用思科IP电话策略
步骤 1: 连接至http://ise-1.cisco.local。
步骤 2: 从Policy (策略)菜单,选择Authorization(授权)。
3、创建授权策略
您将为一个无线接入点(AP)创建授权配置文件,这类似于为思科IP电话创建的
配置文件。
程序 1

创建一个身份组
步骤 3: 对于Profiled Cisco IP Phones,单击Edit(编辑)。
步骤 1: 在菜单栏,鼠标置于Policy(策略),选择Profiling(剖析)。
步骤 4: 单击规则前面的灰色圆圈图标,并选择Enabled(启用)。
步骤 2: 在endpoint policies(终端策略)列表里 ,选择
Cisco-Access-Point。
步骤 5: 单击Done(完成),然后单击Save(保存)。
2012年8月系列
部署详情
55
步骤 3: 确保选择Create Matching Identity Group,然后单击Save(保
存)。
程序 2

步骤 4: 选择DACL Name并在列表中确保选择 PERMIT_ALL_
TRAFFIC,然后单击Submit(提交)。
创建授权配置文件
一个授权配置文件定义授予设备具体的访问策略。您将创建一个AP的策略,允许
完全访问权限。虽然已经有一个内置的类似的配置文件,为了在未来可以做出更
严格的更改,我们仍然创建一个新的配置文件。
步骤 1: 在菜单栏,将鼠标置于Policy(策略),然后在Policy Elements(策略
元素)选项下选择Results(结果)。
步骤 2: 在面板的左侧,双击Authorization(授权),然后双击
Authorization Profiles(授权配置文件)。
程序 3

创建授权策略
步骤 1: 在菜单栏,将鼠标置于Policy(策略),选择Authorization(授权)
。
步骤 3: 单击Add(添加)。
命名Cisco _ APs并给予描述。
2012年8月系列
部署详情
56
步骤 2: 对于Default(默认)规则,在右边,单击黑三角符号,选择Insert
New Rule Above(插入新的规则)。此将生成一个命名为Standard Rule 1
。
步骤 7: 在权限列表中,单击AuthZ Profile旁的“+”符号。
步骤 8: 在列表中单击Standard(标准)旁的“>”,然后选择Cisco_APs。
步骤 3: 重命名规则Profiled Cisco APs 。
步骤 4: 对于新的规则,在“条件”列中,单击Any旁的“+”符号。
步骤 9: 单击Done(完成),然后单击Save(保存)。
步骤 5: 从列表中单击Endpoint Identity Groups (终端组)旁的“>”符
号,然后单击Profiled旁的“>”符号。
步骤 6: 选择Cisco-Access-Point。
2012年8月系列
部署详情
57
步骤 5: 单击窗口中的任何位置,然后单击Save(保存)。
流程
修改MAB认证策略
1、修改MAB认证规则
因为您已经部署了监控模式,当前MAB的认证策略允许终端在身份认证失败的
情况下访问网络。现在,您将部署low-impact(低影响)模式,您需要修改MAB
来拒绝认证失败的终端。这种变化仍然允许思科IP电话和无线接入点AP作为唯
一可以不进行802.1X认证的授权的设备。
程序 1

修改MAB认证规则
步骤 1: 在菜单栏,鼠标置于Policy(策略)上,然后选择Authentication(
认证)。
步骤 2: 在MAB 规则上 , and…右边,单击黑色,这将显示这个规则的
identity store(身份存储)。
步骤 3: 在 Internal Endpoints(内部终端)旁,单击+ 号。
步骤 4: 在 If authentication failed 和 If user not found列表,选择
Reject(拒绝)。
流程
为有线终端启用授权
1、创建授权配置文件
2、创建一个授权策略
3、启用low-impact(低影响) 模式
4、启用change of authorization(授权更改)
您将对有线终端启用使用数字证书进行身份认证的授权。在这个阶段,一旦通过
认证,终端将被授予完全访问网络的权限。如果您选择了在未来更严格的策略,
这一策略亦可修改。
程序 1

创建授权配置文件
一个授权配置文件定义授予设备具体的访问策略。您将创建为有线终端创建一个
配置文件来允许完全的访问权限。
2012年8月系列
部署详情
58
步骤 1: 在菜单栏,鼠标置于Policy(策略)之上,然后在Policy Elements
栏,选择Results(结果)。
步骤 2: 在左侧的面板,双击Authorization(授权),然后双击
Authorization Profiles(授权配置文件)。
步骤 2: 对于Default(默认)规则,在右边,单击黑三角符号,选择Insert
New Rule Above(插入新的规则)。此将生成一个命名为Standard Rule 1
。
步骤 3: 单击 Add(新增)。
步骤 4: 命名配置文件为Wired _ Dot1X 然后增加一个描述。
步骤 5: 选择 DACL Name ,然后在列表中,确保PERMIT_ALL_
TRAFFIC 是选中的,然后单击Submit(提交)。
步骤 3: 重命名该规则为 Wired Dot1X Endpoints。
步骤 4: 对于这条新的规则,在Conditions(条件)列, Condition(s)旁,单
击 + 号。
步骤 5: 单击 Select Existing Condition from Library(从库中选择现
有条件)。
程序 2

创建一个授权策略
现在,您需要为有线端点和应用的授权配置文件定义授权策略。
步骤 1: 在菜单栏,鼠标置于Policy(策略)之上,然后选择Authorization(
授权)。
2012年8月系列
部署详情
59
步骤 6: 在列表中, Compound Conditions(混合条件)旁,单击> 号,然
后选择Wired_802.1X。
步骤 9: 单击 Done(完成),然后单击Save(保存)。
程序 3
步骤 7: 在Permissions(权限) 列, AuthZ Profile旁,单击 + 号。
步骤 8: 在列表中, Standard(标准)旁,单击 > 号,然后选择
Wired_Dot1X。

启用low-impact(低影响) 模式
现在,您将使用Cisco Prime LMS 4.2 和 Cisco TrustSec Work Center
来配置交换机low-impact模式的802.1X。您需要创建一个访问列表,以限
制在在端口上进行身份认证前,哪些流量被允许。您只想要启用认证过程中所
必需的端口。通常情况下,这意味着允许DHCP、DNS、TFTP来支持Preboot
Execution Environment(预启动执行环境)。对于故障排除,您也允许的
ICMP echo 和echo-reply。您将拒绝所有其他的流量,也会记录所有拒绝的行
为,以确定是否有合法的流量被拒绝,以便您作出访问列表ACL的相应改变。
步骤 1: 在Web浏览器中连接到Cisco PrimeLMS,例如:https://lms.
cisco.local。
步骤 2: 在TrustSec段,鼠标置于 Work Centers 之上,单击Identity
Configuration(认证配置)。
步骤 3: 在左侧的浏览栏,单击Manage Identity Configuration(管理认
证配置)。
步骤 4: 在图表中,单击Monitor Mode 片段,一个配置了该模式的端口列表将
弹出。
2012年8月系列
部署详情
60
步骤 5: 选择每台交换机上您想从监控模式转到低冲击模式的端口,然后单击
Edit Mode(编辑模式)。
•D efine Host Mode—Multidomain
•Action to be taken on security violation—No Change
步骤 9: 在MAC配置部分,确保选中Enable MAC Move(启用MAC移动)
。
步骤 10: 在Additional Configurations (额外配置)部分中,选择
Advanced Options(高级选项)。在Adhoc commands栏内,输入如下
命令,然后单击Next(下一步)。
ip access-list extended PreAuth
permit udp any eq bootpc any eq bootps
permit udp any any eq domain
permit udp any any eq tftp
permit icmp any any eq echo
步骤 6: 选择要编辑的端口旁边的复选框,然后单击Next(下一步)。
步骤 7: 在 Identity 模式配置之前,移动Security Mode(安全模式) 滑块
到Low impact(低影响)然后在Associated ACL 栏内,输入PreAuth。
步骤 8: 在 Authentication profile(身份认证配置文件) 和 host mode(
主机模式) 部分,设置以下值:
•D efine Authentication Profile—802.1X, then MAB
2012年8月系列
部署详情
61
permit icmp any any eq echo-reply
技术提示
通过单击Preview CLI( 预览CLI),您可以查看将被推送至交换机
的CLI命令。
步骤 11: 在Job Description(作业描述) 栏内,输入一个描述,然后单击
Finish(完成)。作业被提交,将出现一个确认消息。单击OK (确定)。
在这个程序完成时,添加到交换机配置的全局命令如下。
ip access-list extended PreAuth
permit udp any eq bootpc any eq bootps
permit udp any any eq domain
permit udp any any eq tftp
permit icmp any any eq echo
permit icmp any any eq echo-reply
deny ip any any log
在这个程序完成时,添加到端口下的命令如下。
interface[interface]
ip access-group PreAuth in
authentication host-mode multi-domain
2012年8月系列
部署详情
62
程序 4

启用change of authorization(授权更改)
步骤 5: 输入主用思科ISE管理节点的IP地址,提供RADIUS密钥,然后单击
Next(下一步)。
在认证之后,授权需要使用RADIUS 的Change of Authorization (授权更改
CoA)消息来改变端口的状态。这不是默认启用的,您需要启用它。Cisco Prime
LMS 4.2有一个向导可以用来启用该特性。
步骤 1: 在Cisco Prime LMS中,鼠标置于Work Centers,然后在
TrustSec 部分,单击Identity Configuration(身份配置)。
步骤 2: 在左侧的Navigator (导航)面板,单击Change of
Authorization(授权更改)。
步骤 3: 选择内置的Identity 模板,然后单击Next(下一步)。
步骤 6: Adhoc Configuration(Adhoc配置) 页面允许您增加命令到更多
的设备。在这里,您不需要更多的配置。单击Next(下一步)。
步骤 7: 填入工单描述,然后单击Finish(结束)。
步骤 4: 在 Device Selector(设备选择器)内,展开All Devices,选择您想
启用CoA的交换机,然后单击Next(下一步)。
步骤 8: 为备用的思科ISE管理节点重复上述步骤。
在这个程序完成时,添加到交换机配置的全局命令如下。
2012年8月系列
部署详情
63
aaa server radius dynamic-author
client 10.4.48.41 server-key [key]
client 10.4.48.42 server-key [key]
步骤 5: 在Access Type(接入类型) 列表,确保选中ACCESS_ACCEPT
,然后单击Submit(提交)。
auth-type any
流程
为无线终端启用授权
1、创建授权配置文件
2、创建一个授权策略
您将对无线终端启用使用数字证书进行身份认证的授权。在这个阶段,一旦通过
认证,终端将被授予完全访问网络的权限。如果您选择了在未来更严格的策略,
这一策略亦可修改。
程序 1

创建授权配置文件
一个授权配置文件定义授予设备具体的访问策略。您将创建为无线终端创建一个
配置文件来允许完全的访问权限。默认情况下终端加入无线网络时已被授予完全
的访问权限,所以现在您不还不需要定义一个访问控制列表。
步骤 1: 在菜单栏,鼠标置于Policy(策略)之上,然后在Policy Elements
栏,选择Results(结果)。
步骤 2: 在左侧的面板,双击Authorization(授权),然后双击
Authorization Profiles(授权配置文件)。
程序 2

创建一个授权策略
现在,您需要为无线端点和应用的授权配置文件定义授权策略。
步骤 1: 在菜单栏,鼠标置于Policy(策略)之上,然后选择Authorization(
授权)。
步骤 3: 单击 Add(新增)。
步骤 4: 命名配置文件为Wired _ Dot1X 然后增加一个描述。
2012年8月系列
部署详情
64
步骤 2: 对于Default(默认)规则,在右边,单击黑三角符号,选择Insert
New Rule Above(插入新的规则)。此将生成一个命名为Standard Rule 1
。
步骤 6: 在列表中, Compound Conditions(混合条件)旁,单击> 号,然
后选择Wired_802.1X。
步骤 3: 重命名该规则为Wireless Dot1X Endpoints。
步骤 4: 对于这条新的规则,在Conditions(条件)列, Condition(s)旁,单
击 + 号。
步骤 7: 在Permissions(权限) 列, AuthZ Profile旁,单击 + 号。
步骤 5: 单击 Select Existing Condition from Library(从库中选择现
有条件)。
2012年8月系列
部署详情
65
步骤 8: 在列表中, Standard(标准)旁,单击 > 号,然后选择
Wired_Dot1X。
流程
修改为关闭的授权策略
1、修改默认规则
目前的授权策略是一个开放的策略。如果一个授权请求并没有匹配任何一条定
义的规则,它仍然获得了访问网络的权限。现在您已经启用了low-impact(低影
响)模式,您将需要改变这条规则以拒绝所有未匹配规则的请求。
程序 1

修改默认规则
步骤 1: 在菜单栏,鼠标置于Policy(策略),然后选择Authorization(授
权)。
步骤 9: 单击 Done(完成),然后单击Save(保存)。
步骤 2: 对于default rule(默认规则)单击Edit(编辑)。
步骤 3: 在 Conditions (条件)栏, PermitAccess旁,单击+ 号。
步骤 4: 在列表中, Standard旁,单击 > 号,然后选择 DenyAccess。
2012年8月系列
部署详情
66
步骤 5: 单击Done(完成),然后单击Save(保存)。
的网络。另外,您将了解到谁正在连接您的网络,以及使用的认证方法。
程序 1

查看思科ISE仪表盘
查看此信息的第一个位置是在思科ISE Home Dashboard(主页仪表盘)上。
它总结了组中服务器的健康状况、如何对设备进行认证、以及对哪类设备进行了
分析。
步骤 1: 在菜单栏,单击Home(主页)。
步骤 2: 如果您想查看此部分其他信息,请单击右上角按钮,这部分将展开。
流程
监控网络访问
1、查看思科ISE仪表板
2、配置身份组
3、添加定制配置文件
4、查看认证日志
5、创建定制认证报告
6、识别终端
7、创建设备类型报告
网络基础设施的配置已经完成。现在需要通过使用思科ISE的报告功能,回答有
关网络访问的事件/时间/地点/人物的问题,以便更好地了解当前的网络活动。
思科ISE现在配置用于根据RADIUS和DHCP信息,对用户进行认证和对终端进
行分析。思科ISE的报告功能使您可以确定哪类设备、何时、从哪里正在连接到您
2012年8月系列
程序 2

配置身份组
思科ISE拥有更多深入的报告选项,可提供关于连接至网络的设备的更详细信
息。为帮助识别终端,您可以使用身份组来对已分析的终端进行分类,并生成报
告。
以下示例介绍了如何对Apple iPad执行该操作。针对其它类型设备的程序与之
类似。
部署详情
67
步骤 1: 在菜单栏,将鼠标置于Policy(策略)之上,然后选择Profiling(分
析)。
步骤 2: 单击Apple-iPad。这使您可以编辑该策略。
步骤 3: 选择Create Matching Identity Group(创建匹配身份组),然
后单击Save(保存)。
步骤 3: 单击Add(添加)。
步骤 4: 为该策略输入名称“Cisco-Cius”和描述。
步骤 5: 在规则部分,单击Conditions(条件)旁边的“+”号,然后单击
Create New Condition (Advance Option)(创建新条件(高级选项))
。
步骤 6: 在Expression(表达式)下拉列表中,单击DHCP旁边的“>”号,然
后选择dhcp-class-identifier 。
您可以根据需求对其他终端类型重复这些步骤。您还可以查看用于分析终端的规
则,以了解这一过程。在Apple iPad案例中,思科ISE使用了两个规则。一个基于
DHCP信息,另一个基于HTTP 。
程序 3

添加定制配置文件
虽然有许多预定义的配置文件,您可能会发现您希望分析的设备不具备现成的配
置文件。您可以利用该设备的独特特征创建新的配置文件。查看一些现有配置文
件,了解可用于设备分析的选项和方法。
步骤 7: 在第二个下拉列表中,选择CONTAINS(包含),然后在最后一个框中
输入Cisco Cius。
以下示例显示了如何使用从设备的DHCP请求中获取的信息为Cisco Cius创建
配置文件。
步骤 1: 连接至https://ise-1.cisco.local。
步骤 2: 将光标置于Policy(策略)上,然后从下拉菜单中,选择Profiling(分
析)。
2012年8月系列
部署详情
68
步骤 8: 选择Certainty Factor Increases(确定因子增加),将值设为20
,然后单击Submit(提交)。
程序 4

换机的IP地址和端口。
查看认证日志
步骤 1: 在菜单栏,将鼠标置于Operations(操作)之上,然后选择
Authentications(认证)。认证日志显示。缺省选项是显示过去24小时内的
最后20个记录。
在Authentication Details(认证详情)部分,您可以找到更多详情,例如
对于通过MAB进行认证的设备,客户端的MAC地址作为用户名和终端列出。对
于通过无线或VPN上的RADIUS进行认证的设备,将会显示用户名。
如果能够对设备进行分析,则会显示此信息。
步骤 2: 在MAB记录的详情列,单击“带有放大镜的页面”图标。此操作将会显
示有关记录的详细认证信息。
在Authentication Summary(认证总结)部分,网络设备列出了终端连接的交
2012年8月系列
部署详情
69
Identity Group(身份组)和Identity Policy(身份策略)。
步骤 5: 如果您想使用一个默认的时间范围,选择此时间范围。
如果您想选择一个未列出的时间范围,选择Query and Run(查询并运行),
所有参数可用于报告显示。选择您想要的参数后,单击Run(运行)生成报告。
图 2 - RADIUS 报告参数
您还可以查看已采用RADIUS进行了认证的终端的类似数据。在这些记录中会显
示用户名和所使用的EAP方法。
程序 5

创建定制认证报告
默认认证日志视图仅限于显示最近的条目。要获得详细的报告,您需要创建一个
定制报告。
步骤 1: 在菜单栏,将鼠标置于Operations(操作)之上,然后在Reports(报
告)部分,选择Catalog(目录)。
步骤 2: 在左侧窗格,选择AAA Protocol( AAA协议)。
步骤 3: 选择RADIUS Authentication(RADIUS认证)。
步骤 4: 单击Run(运行)。用于生成缺省报告的不同时间范围将会显示。
2012年8月系列
部署详情
70
图 3 - 终端配置文件汇总
程序 6

识别终端
思科ISE可以使用从RADIUS和DHCP请求中收集到的信息,识别哪类设备正在
连接网络。这有助于根据所使用的设备类型来确定网络安全策略。
步骤 1: 在菜单栏,将鼠标置于Operations(操作)之上,然后在Reports(报
告)部分,选择Catalog(目录)。
步骤 2: 在左侧窗格,选择Endpoint(终端)。这将显示可用的终端报告。
步骤 3: 选择Endpoint Profiler Summary(终端分析器总结),然后单击
Run(运行)。
步骤 4: 选择所需的时间段,运行报告。
步骤 5: 当报告生成后,您可以通过单击放大镜图标,查看进行了分析的终端的
详细信息。
总结部分中显示的详情包括MAC地址、终端策略和此终端的身份组。更多详细
信息,如IP地址和网络访问设备等,在Endpoint Details(终端详细信息)部分
提供。对于采用RADIUS进行了认证的无线和远端访问VPN终端,还将列出用户
名。
2012年8月系列
部署详情
71
步骤 1: 在菜单栏,将鼠标置于Operations(操作)之上,然后在Reports(报
告)部分,选择Catalog(目录)。
图 4 - 终端细节
步骤 2: 在左侧窗格,单击AAA Protocol( AAA协议)。
步骤 3: 选择RADIUS Authentication(RADIUS认证)。
步骤 4: 单击Run(运行)并选择Query and Run(查询并运行)。
步骤 5: 针对您要查询的身份组,单击Identity Group(身份组)字段旁边的
Select(选择)。搜索窗口将出现。
步骤 6: 在搜索字段保留为空,然后单击Search(搜索)。搜索将返回所有组。
程序 7

创建设备类型报告
您可以根据之前配置的身份组来创建报告,以识别特定的设备。本示例将使用已
经创建的组来识别Apple iPads 。
2012年8月系列
部署详情
72
步骤 7: 选择组Profiled:AppleiPad,然后单击Apply(应用)。
步骤 8: 为报告选择一个时间范围,然后单击Run(运行)。
图 5 - 样例报告
2012年8月系列
部署详情
73
附录A: 产品列表
网络管理
功能领域
产品描述
产品编号
软件版本
身份管理
Cisco Identity Services Engine Virtual Appliance
ISE-VM-K9=
1.1.1.268
Cisco ISE Base License for 10,000 Endpoints
L-ISE-BSE-10K=
Cisco ISE Base License for 5000 Endpoints
L-ISE-BSE-5K=
Cisco ISE Base License for 3500 Endpoints
L-ISE-BSE-3500=
Cisco ISE Base License for 2500 Endpoints
L-ISE-BSE-2500=
Cisco ISE Advanced 3-year License for 10,000 Endpoints
L-ISE-ADV3Y-10K=
Cisco ISE Advanced 3-year License for 5000 Endpoints
L-ISE-ADV3Y-5K=
Cisco ISE Advanced 3-year License for 3500 Endpoints
L-ISEADV3Y-3500=
Cisco ISE Advanced 3-year License for 2500 Endpoints
L-ISEADV3Y-2500=
Cisco Prime Infrastructure 1.1
R-PI-1.1-K9
Prime Infrastructure 1.1 Software – 5K Device Base Lic
R-PI-1.1-5K-K9
Prime Infrastructure 1.1 Software – 2.5K Device Base Lic
R-PI-1.1-2.5K-K9
Prime Infrastructure 1.1 Software – 1K Device Base Lic
R-PI-1.1-1K-K9
Prime Infrastructure 1.1 Software – 500 Device Base Lic
R-PI-1.1-500-K9
Prime Infrastructure 1.1 Software – 100 Device Base Lic
R-PI-1.1-100-K9
Prime Infrastructure 1.1 Software – 50 Device Base Lic
R-PI-1.1-50-K9
网络管理
2012年8月系列
4.2
附录A: 产品列表
74
LAN 接入层
功能领域
产品描述
产品编号
软件版本
模块化接入层交换机
Cisco Catalyst 4507R+E 7-slot Chassis with 48Gbps per slot
WS-C4507R+E
Cisco Catalyst 4500 E-Series Supervisor Engine 7L-E
WS-X45-SUP7L-E
Cisco Catalyst 4500 E-Series 48 Ethernet 10/100/1000 (RJ45)
PoE+ ports
WS-X4648RJ45V+E
3.3.0.SG(15.11SG)
IP Base
Cisco Catalyst 4500 E-Series 48 Ethernet 10/100/1000 (RJ45)
PoE+,UPoE ports
WS-X4748UPOE+E
Cisco Catalyst 3750-X Series Stackable 48 Ethernet 10/100/1000
PoE+ ports
WS-C3750X48PF-S
Cisco Catalyst 3750-X Series Stackable 24 Ethernet 10/100/1000
PoE+ ports
WS-C3750X-24P-S
Cisco Catalyst 3750-X Series Two 10GbE SFP+ and Two GbE SFP
ports network module
C3KX-NM-10G
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
C3KX-NM-1G
Cisco Catalyst 3560-X Series Standalone 48 Ethernet 10/100/1000
PoE+ ports
WS-C3560X48PF-S
Cisco Catalyst 3560-X Series Standalone 24 Ethernet 10/100/1000
PoE+ ports
WS-C3560X-24P-S
Cisco Catalyst 3750-X Series Two 10GbE SFP+ and Two GbE SFP
ports network module
C3KX-NM-10G
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
C3KX-NM-1G
Cisco Catalyst 2960-S Series 48 Ethernet 10/100/1000 PoE+ ports
and Two 10GbE SFP+ Uplink ports
WS-C2960S48FPD-L
Cisco Catalyst 2960-S Series 48 Ethernet 10/100/1000 PoE+ ports
and Four GbE SFP Uplink ports
WS-C2960S48FPS-L
Cisco Catalyst 2960-S Series 24 Ethernet 10/100/1000 PoE+ ports
and Two 10GbE SFP+ Uplink ports
WS-C2960S24PD-L
Cisco Catalyst 2960-S Series 24 Ethernet 10/100/1000 PoE+ ports
and Four GbE SFP Uplink ports
WS-C2960S24PS-L
Cisco Catalyst 2960-S Series Flexstack Stack Module
C2960S-STACK
可堆叠接入层交换机
独立的接入层交换机
可堆叠接入层交换机
2012年8月系列
15.0(1)SE2
IP Base
15.0(1)SE2
IP Base
15.0(1)SE2
LAN Base
附录A: 产品列表
75
无线LAN控制器
功能领域
产品描述
产品编号
软件版本
本地站点、远程站点控制器或
访客控制器
Cisco 5500 Series Wireless Controller for up to 500 Cisco access
points
AIR-CT5508500-K9
7.2.110.0
Cisco 5500 Series Wireless Controller for up to 250 Cisco access
points
AIR-CT5508250-K9
Cisco 5500 Series Wireless Controller for up to 100 Cisco access
points
AIR-CT5508100-K9
Cisco 5500 Series Wireless Controller for up to 50 Cisco access
points
AIR-CT5508-50-K9
Cisco 5500 Series Wireless Controller for up to 25 Cisco access
points
AIR-CT5508-25-K9
Cisco 5500 Series Wireless Controller for up to 12 Cisco access
points
AIR-CT5508-12-K9
Cisco 2500 Series Wireless Controller for up to 20 Cisco access
points
AIR-CT2504-50-K9 7.2.110.0
Cisco 2500 Series Wireless Controller for up to 25 Cisco access
points
AIR-CT2504-25-K9
Cisco 2500 Series Wireless Controller for up to 15 Cisco access
points
AIR-CT2504-15-K9
Cisco 2500 Series Wireless Controller for up to 5 Cisco access
points
AIR-CT2504-5-K9
本地站点控制器
2012年8月系列
附录A: 产品列表
76
附录 B: 变更
本附录总结了与前一半思科IBA系列文档所做的变更:
•我 们升级思科ISE设备的软件版本到1.1.1.268。
•我 们升级思科无线局域网控制器的软件版本到7.2.110.0。
•我 们升级思科 Catalyst 2960-S 系列, 3560-X 系列和3750-X 系列到
Cisco IOS 版本 15.0(1)SE2。
•我 们升级思科Catalyst 4500 E-系列交换机到Cisco IOS XE 版本
3.3.0.SG (15.1-1SG)。
•我 们升级思科Prime LMS的软件版本到4.2。
•我 们升级思科ASA 5500 系列防火墙软件版本到 8.6(1)。
•在802.1X的监控模式外,我们增加了low-impact(低影响)模式,除了思科
IP电话和AP之外,其他的未通过认证的网络设备都会被拒绝访问。
•我 们修改了ISE的部署模式,现在是4台设备—包括一对主用、备用的策略服
务和管理节点,一对主用、备用的监控节点。
•我 们在交换机和无线局域网控制器WLC上部署了 Device Sensor(设备感
应)特性,这样可以简化分析配置和减少发送DHCP请求道思科ISE设备上的
数量。
2012年8月系列
附录 B: 变更
77
反馈
点击 这里 提供反馈到IBA
本手册中的所有设计、规格、陈述、信息和建议(统称为“设计”)均按“原样”提供,可能包含错误信息。思科及其供应商不提供任何保证,包括但不限于适销性、适合特定用途和非侵权保证,或与交易过程、
使用或贸易惯例相 关的保证。在任何情况下,思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任,包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害,即
使思科或其供应商已被告知存在此类损害 的可能性。这些设计如有更改,恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户
在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因 素可能导致结果有所不同。
文中使用的任何互联网协议(IP)地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。
© 2012 思科系统公司。保留所有权利。
美国总部
Cisco Systems, Inc.
San Jose, CA
亚太总部
Cisco Systems (USA) Pte. Ltd.
Singapore
欧洲总部
Cisco Systems International BV Amsterdam,
The Netherlands
思科在全球拥有超过200家办公室。地址,电话号码和传真在思科网站中列出: www.cisco.com/go/offices。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The
use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)
Download